当“信任”成为AI漏洞:你的代码还安全吗?

admin 2026-07-02 05:21:55 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 近期研究表明AI编码代理存在代理劫持(agentjacking)风险,攻击者通过在公共漏洞追踪服务植入虚假错误报告,诱使ClaudeCode、Cursor等AI代理在开发者机器上执行任意代码,导致凭证窃取、数据泄露等后果。其核心问题在于AI无法区分读取内容与可执行指令,现有安全机制难以检测。建议组织禁用安装脚本、要求代理执行高危操作前需人工批准,并以最小权限原则运行代理,长远需建立代理意图与用户意图的一致性监控机制。 综合评分: 88 文章分类: AI安全,漏洞分析,应用安全,安全运营


cover_image

当“信任”成为AI漏洞:你的代码还安全吗?

小铭团队 – M 小铭团队 – M

观初科技

2026年7月1日 15:52 上海

在小说阅读器读本章

去阅读

虚假漏洞报告大规模劫持AI编码代理

“代理劫持”(Agentjacking)最新的例证展示了攻击者如何轻易利用AI代理无法区分内容与指令的缺陷。

近期,有研究人员提供了新的证据,表明AI编码代理已成为威胁行为者窃取凭证、操纵数据和破坏开发环境的一个切实可行的攻击面。研究展示了一种攻击方法:攻击者只需在公共漏洞追踪服务中植入一份虚假的错误报告,就能劫持AI编码代理,使其在开发者的机器上运行任意代码。在对这种“代理劫持”技术的受控测试中,Claude Code、Cursor和Codex等广泛使用的AI编码助手会检索被投毒的的错误数据,并在许多情况下,在开发者的机器上执行了攻击者控制的代码。

01

利用虚假报告进行“代理劫持”

在真实攻击场景中,其后果可能包括窃取云凭证、AWS密钥、GitHub令牌、SSH密钥以及CI/CD流水线机密。攻击者可能利用这些凭证访问私有源代码仓库、破坏云基础设施,或在整个组织范围内对软件依赖项进行投毒。

安全人员指出:已部署的AI代理现已成为系统的薄弱攻击入口,且现有技术栈对此类风险缺乏可见性。代理劫持攻击并非依赖高度复杂的漏洞利用手段,其核心仅在于一份伪造的错误报告。代理在读取该报告后予以采信,并利用开发者自身的访问权限执行了攻击者控制的代码。由于整个操作链中的每一步均在授权范围内完成,因此身份与访问管理、端点检测与响应及网络控制机制均未能触发任何告警。

02

AI代理仍缺乏辨别力

有安全公司在近期报告中指出,问题的根本症结在于AI编码代理缺乏对“读取内容”与“可执行指令”的有效区分能力。当模型上下文协议(MCP)连接器从外部源(如:文档、工单以及各类工具输出,而这些内容此前从未被视作攻击面)检索信息时,AI代理将所获内容一概视为输入数据,攻击者即可借机将恶意指令混入其中,攻击手法极具隐蔽性。

在今年的RSA 2026大会简报会上就有一位研究人员演示了攻击者如何向目标发送带有恶意指令的电子邮件,如果用户要求AI助手总结该消息,AI助手将盲目执行这些指令。建议组织禁用安装脚本,并要求代理在执行shell命令或安装从其读取的数据之前获得人工批准,代理以最小权限原则运行。从长远来看,组织需要实现实时监控代理意图与用户原始意图是否一致的能力,并在代理执行操作时捕捉任何偏差。“当攻击的本质是一个受信任的代理完全按照被投毒数据的指示行事时,唯一剩下的阻止点就在代理的运行时环境中。”

03

观初科技:AI解决方案

观初科技,从信息安全合规咨询起步,历经十年发展,观初科技已从1.0时期的业务架构搭建,演进至2.0创新期的多项关键突破,如今正全面迈向3.0+AI智能时代。观初科技始终秉承“创造价值,不负初心”的使命,构建起覆盖“规划-建设-运营-优化”的全栈式服务体系。公司创新化布局AI领域,形成了六大核心业务能力:

01

AI合规

提供覆盖安全评估、数据治理与伦理审查的全栈式合规解决方案。紧密跟踪国家及行业监管动态,将法律合规要求转化为可落地的技术基线,协助企业在创新与风险控制间建立平衡,确保AI业务行稳致远。

02

ASOC安全运营平台

实现从“单点式检测”向持续化、体系化AI安全运营的跃迁。平台以“可扩展安全架构”为核心,整合资产感知、威胁研判与响应编排能力,帮助企业构建自适应、可生长的新一代安全运营体系,从容应对不断演进的AI攻击面。

03

AI生态与基础设施

覆盖MCP、Skills、插件及远程工具服务的深度安全审计,同时对支撑AI应用运行的底层基础设施进行全栈安全扫描。同步提供自研NEO-SCAN安全审计自测工具,助力企业在上线前自主完成生态组件及基础设施的安全验证。

04

AI攻防验证

依托RTaaS智能体红队审计服务,以真实攻击者视角,对AI应用进行动态对抗测试,系统性挖掘业务逻辑漏洞与模型安全风险。辅以自研大模型安全体检工具,从提示词注入、数据泄露、护栏有效性等多个维度,为模型安全提供量化评估报告。

05

AI智能体定制开发

提供从0到1的AI智能体全链路开发服务,涵盖大模型基础搭建、应用场景化开发、模型微调训练以及企业级知识库的梳理与构建。通过将行业KNOW-HOW与基础模型能力深度融合,打造贴合业务场景的专属智能体。

06

AI资产治理

推出自研NEO-BOM资产扫描工具(支持风险量化评分),通过主动探测与被动解析相结合的方式,为企业建立完整、准确、实时更新的AI资产台账。对模型、数据集、API及依赖组件进行全生命周期管理,让AI资产全景可视、风险可管。

更多AI相关咨询,联系我们:

[email protected]

部分文章来源:Dark Reading

本文选材/撰写/翻译/校对/排版:小铭团队M


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:观初科技 小铭团队 – M 小铭团队 – M《当“信任”成为AI漏洞:你的代码还安全吗?》

连吃带拿 网络安全文章

连吃带拿

文章总结: 文档内容缺失,无法提取有效信息。 综合评分: 0 文章分类: 其他连吃带拿 Khan安全团队 2026年7月1日 15:49 海南 在小说阅读器读本
评论:0   参与:  0