文章总结: AdversaAI发现GuardFall缺陷,影响多个开源AI代理,因防护与Bash执行不匹配导致绕过。测试11个代理中10个存在绕过路径,可致凭证窃取或环境破坏。建议采用临时缓解措施并推动长期命令评估机制改进。 综合评分: 88 文章分类: 供应链安全,AI安全,漏洞分析,红队,安全工具
老把戏,新靶心:Bash 正威胁 AI 编程代理供应链安全
Omer Ben Simon Omer Ben Simon
代码卫士
2026年7月1日 16:32 北京
在小说阅读器读本章
去阅读
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
专栏·供应链安全
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
Adversa AI公司在多个开源 AI 代理中发现了一个结构性的安全缺陷,并将其称之为“GuardFall”。该缺陷并非单一漏洞,而是一种危险的惯例和一类问题的总称。基于原始命令字符串匹配的过滤器无法建模 Bash 的展开机制,因此只能提供虚假的安全感而并无实际防护——这种虚假安全感恰恰会导致人工审批被关闭、自动模式被开启。
研究人员测试了 11 个流行的开源代理(包括 Hermes、OpenCode、Roo-code 等)。实验结果表明,其中 10 个至少存在一类可被利用的防护绕过路径,仅 1 个代理(Continue)在全部测试类别中未发现绕过情况。研究将所用绕过手法分为五类(A 至 E),包括引号移除、$IFS、命令替换、base64 转 shell、破坏性 argv 标志等——这些均是有数十年历史的 shell 技巧,能够系统地击溃当今最流行开源 AI 代理的防护机制。其中 E 类成功率最高,它能绕过最多的防护,包括基于标记化的最强防护。
为什么会发生?
根本原因在于防护机制与 Bash 实际执行之间的不匹配。代理通常使用基于模式匹配的 shell 防护,检查原始文本,但系统 shell(Bash)在执行命令前会对文本进行展开、移除引号和重写。因此,代理认为自己在运行的命令与 Bash 实际运行的命令存在差异,这一结构性缺口正是 GuardFall 得以成立的基础。
研究人员归纳出四种架构性失效模式:在所调查的代理中,有三个(Hermes、opencode、Goose)虽然内置了防护但均被绕过;其余代理的失效形式各不相同——有的采用基于标记化的防护,但在带引号替换和破坏性标志处存在泄漏;有的完全没有静态防护;有的依赖沙盒,但一旦切换至文档中允许的本地/自动模式便会失效。单纯“增加更多拒绝列表模式”无法解决其中任何一个问题。
此外,此类利用还依赖前置条件:虽然直接的恶意提示词往往会被模型拒绝,但代理在摄入操作上下文(如被投毒的 README 或 Makefile)时,很容易诱使前沿模型将注入的命令作为常规任务发出。这一攻击链依赖于模型和上下文框架——研究实际测试使用的是 Claude Sonnet 4.6。
造成的影响
由于这些代理以开发者的完整账户权限运行,攻击者可利用 GuardFall 悄无声息地执行命令,例如窃取 AWS 凭证或清空整个开发环境,尤其在 CI 流水线中(“自动确认”模式常为默认),风险会放大,进而演变为重大的供应链风险。
在测试的 11 个代理中,仅有 1 个(Continue)未出现可被利用的绕过路径;其余代理均在不同类别上存在缺陷。研究人员将 Continue 视为在其默认 IDE 模式下能够在结构上封闭大部分绕过路径的参考设计,它是针对大多数开发者实际运行配置(代理在宿主机上运行、真实 $HOME、非一次性工作空间)的有效防御方案。另一种常见方案沙盒,仅在可以丢弃工作空间的配置下才有效。
应对措施
针对该问题,研究人员提出了临时缓解措施(如限定 shell 作用域、重定向 $HOME、禁用自动确认等),但强调这些仅为权宜之计。长期解决方案需由代理维护者在其内部实现更严格的命令评估机制,以弥合模式匹配防护与 Bash 实际执行之间的结构性差距。
开源卫士试用地址:https://sast.qianxin.com/#/login
代码卫士试用地址:https://codesafe.qianxin.com
推荐阅读
在线阅读版:《2025中国软件供应链安全分析报告》全文
“冬虫夏草”供应链漏洞影响数千家组织机构的代码仓库
多家网络安全公司受 Klue 供应链攻击影响
GitHub 推出 npm 安全变更,对抗供应链攻击
最新软件供应链事件概览:Red Hat npm 包遭劫持;投毒 Claude Code;OpenAI Codex 认证令牌被盗
TrapDoor 供应链攻击通过 npm、PyPI 和 CratesIO 传播凭据窃取恶意软件
自动化供应链攻击6小时内攻陷5561个 GitHub 仓库
GitHub 被黑或因员工安装 Nx Console 恶意扩展引发,更多详情待调查
GitHub 内部仓库疑遭未授权访问,TeamPCP 据称正在出售 GitHub 内部源代码
奇安信Qcode Agents重磅升级,正式解锁操作系统级漏洞挖掘能力
Grafana 令牌被盗,GitHub 环境可遭访问且代码库被下载
TeamPCP再发动供应链攻击;数百个恶意包被上传,RubyGems 暂停新账号注册
Checkmarx 再遭攻击,Jenkins AST 插件受陷
Go 流行库 fsnotify 的维护人员访问权限变更,拉响供应链攻击警报
Gemini CLI 严重漏洞可触发 RCE 攻击和软件供应链风险
自传播供应链蠕虫劫持 npm 包,窃取开发人员令牌
Axios 严重漏洞可导致 RCE
Trivy供应链攻击触发CanisterWorm 在47个 npm 包中自传播
热门包管理器中存在多个漏洞,JavaScript 生态系统易受供应链攻击
开源自托管平台 Coolify 修复11个严重漏洞,可导致服务器遭完全攻陷
得不到就毁掉:第二轮Sha1-Hulud供应链攻击已发起,影响2.5万+仓库
vLLM 高危漏洞可导致RCE
开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源
热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击
10个npm包被指窃取 Windows、macOS 和 Linux 系统上的开发者凭据
热门 React Native NPM 包中存在严重漏洞,开发人员易受攻击
热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道
开发人员注意:VSCode 应用市场易被滥用于托管恶意扩展
GitHub Copilot 严重漏洞可导致私有仓库源代码被盗
受 Salesforce 供应链攻击影响,全球汽车巨头 Stellantis 数据遭泄露
捷豹路虎数据遭泄露生产仍未恢复,幕后黑手或与 Salesforce-Salesloft 供应链攻击有关
十几家安全大厂信息遭泄露,谁是 Salesforce-Salesloft 供应链攻击的下一个受害者?
原文链接
GuardFall: a universal shell injection vulnerability in open-source AI agents
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 “赞” 吧~
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:代码卫士 Omer Ben Simon Omer Ben Simon《老把戏,新靶心:Bash 正威胁 AI 编程代理供应链安全》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论