文章总结: 本周安全风险集中在开发者供应链、浏览器Agent授权边界与云协作存储的身份隔离缺陷。AsyncAPI因CI工作流权限隔离缺失遭入侵,导致PAT泄露与npm包污染。ClaudeforChrome因授权触发校验缺失遭利用,导致跨SaaS操作失控。AIAgent因可信与外部数据未隔离遭ADI污染,导致命令执行与供应链风险。建议加强CI/CD工作流权限隔离、验证浏览器事件来源、实施数据来源跟踪。 综合评分: 95 文章分类: 供应链安全,云安全,AI安全,应用安全,漏洞分析
AI与云安全事件案例分析周报|2026.07.13 – 2026.07.17
原创
星云实验室 星云实验室
绿盟科技研究通讯
2026年7月17日 17:49 北京
在小说阅读器读本章
去阅读
本周风险集中在开发者供应链、浏览器 Agent 授权边界与云协作存储的身份隔离缺陷。
事件一 AsyncAPI 因 CI 工作流权限隔离缺失遭入侵,导致 PAT 泄露与 npm 包污染
事件简介
事件概述:AsyncAPI Generator 是 AsyncAPI 开源生态中的代码生成工具,可根据异步 API 定义和模板生成文档、代码及相关工程产物。攻击者向其仓库批量提交 37 个拉取请求,以大量伪装成慈善捐赠页面的噪声掩护其中一个恶意 PR。仓库的 GitHub Actions 工作流由 pull\_request\_target 触发,却检出并执行攻击者控制的 PR 代码,使恶意 JavaScript 能读取 Runner 环境并外传高权限 asyncapi-bot PAT。攻击者随后直接写入组织仓库,发布 4 个包的 5 个恶意 npm 版本;载荷在包被 import/require 时执行,继续从 IPFS 拉取多阶段后门并建立持久化与多通道 C2。
事件时间:2026-07-14
事件链接:https://www.wiz.io/blog/m-red-team-asyncapi-supply-chain-compromise-via-github-actions
影响范围:
- 恶意版本包括
@asyncapi/[email protected]、@asyncapi/[email protected]、@asyncapi/[email protected]、@asyncapi/[email protected]和@asyncapi/[email protected] - 相关包合计每周下载量超过 300 万,风险覆盖开发者工作站、CI/CD Runner 及其下游构建产物
- 载荷可窃取浏览器凭证与 Cookie、SSH 密钥、npm/GitHub token、AWS 凭证、macOS Keychain 和加密货币钱包信息
- Wiz 未将本次事件直接归因于此前的 Shai-Hulud 2.0;虽然载荷含 Miasma 标识与部分相似技术特征,公开证据不足以确认同一攻击者
技术分类归属:基础设施层 / 应用层 / 开发者供应链层 / 云身份层
事件标签:云
事件背景与回顾
事件背景与架构形态:pull\_request\_target 在目标仓库的安全上下文中运行,能够访问仓库 Secret;它适合处理标签、评论等不需要执行 PR 代码的任务。AsyncAPI 工作流却在该上下文中检出攻击者分支并运行其中内容,形成典型的 pwn request:外部贡献者无需代码合并,就能让不可信代码进入带密钥的受信 Runner。
图1. AsyncAPI Generator 中检出并执行 PR 代码的高权限工作流
时间线:
- 2026-04-29:贡献者提交 PoC,指出相关 GitHub Actions 工作流存在执行不可信 PR 代码的风险。
- 2026-05-17:修复 PR 提议拆分不可信代码执行与 Secret 使用,但事发时仍未合并。
- 2026-07-14 05:08 UTC:攻击者提交带混淆 JavaScript 的 PR #2155。
- 2026-07-14 05:16 UTC:工作流完成执行,Runner 中的高权限凭证被外传。
- 2026-07-14 06:58 UTC:攻击者使用被盗 PAT 向
next分支推送恶意提交。 - 2026-07-14 07:10 UTC:首批污染包发布到 npm。
- 2026-07-14 07:51-08:28 UTC:攻击者转向
spec-json-schemas仓库连续推送提交,并发布两版恶意@asyncapi/specs。
图2. 自动化代码审查对恶意载荷与凭证风险的告警
图3. 攻击者在 spec-json-schemas 仓库推送的恶意提交记录
事件根因深度分析
- 基础设施与云配置错误:高权限组织 PAT 被置于能够执行外部 PR 内容的 GitHub Actions 信任域中;服务账号跨仓库权限使一次 Runner 泄密能够扩展为组织级代码与发布权限失陷。
- AI 供应链与存储缺陷:本次不直接攻击模型,但受污染 npm 依赖可进入 AI Agent、API 生成器和云原生开发流水线。载荷选择在模块导入而非安装脚本阶段触发,可避开只检查
preinstall/postinstall的供应链控制。 - 前沿算法/工程逻辑缺陷:工作流把“在目标仓库权限下处理 PR 元数据”与“执行 PR 代码”组合在同一个作业中;自动审查虽发现混淆代码,但工作流早已在合并前执行,代码评审门禁无法阻止 Secret 泄露。
- 复合依赖与应急响应缺陷:风险跨越 GitHub Actions、组织 PAT、分支写权限、npm 发布链和下游缓存。清理恶意版本并不能证明终端安全,已导入包的开发者主机仍需排查 IPFS 载荷、持久化服务及凭证暴露。
- 边界防御与分层隔离缺陷:发布机器人同时拥有多仓库写入与包发布能力,缺少短时凭证、环境保护规则和按仓库/包拆分的最小权限;一枚 PAT 成为从 PR 到 npm 生态的单点信任桥梁。
VERIZON DBIR 事件分类
- System Intrusion:攻击者利用 CI/CD 配置缺陷取得凭证,并向开发者终端投递持久化后门。
- Use of Stolen Credentials:被盗的组织机器人 PAT 被用于写入仓库并触发合法发布流程。
攻击路径与 MITRE ATT&CK 技术映射
事件二 Claude for Chrome 因授权触发校验缺失遭利用,导致跨 SaaS 操作失控
事件简介
事件概述:Claude for Chrome 是 Anthropic 提供的浏览器 Agent 扩展,可让 Claude 读取网页,并在用户授权后操作 Gmail、Google Docs、Calendar、Salesforce 等连接服务。Manifold Security 披露该扩展在触发内置任务时未检查浏览器事件的 Event.isTrusted 属性。另一个具有 claude.ai 页面脚本权限的恶意扩展可注入指定 DOM 元素并派发合成点击,让 Claude 误认为用户主动启动了预定义工作流。攻击不能注入任意提示词,范围受限于 9 个内置任务;但其中包括读取 Gmail、Google Docs 和 Calendar,以及修改 Salesforce 线索。在默认模式下仍会出现操作确认;若用户已启用 Act without asking,任务可静默执行。
事件时间:2026-07-14 原始研究公开,2026-07-16 集中报道
事件链接:https://www.manifold.security/blog/claude-for-chrome-extension-bypass
影响范围:
- 影响截至 2026-07-07 仍可复现问题的 Claude for Chrome v1.0.80;研究人员称相关处理器与 v1.0.72 字节级一致
- 前提是受害者安装了另一个可在
claude.ai执行内容脚本的恶意浏览器扩展,不是任意网站即可直接触发 - 可触发的高价值任务包括 Gmail 邮件读取与退订、Google Docs 评论读取、Calendar 空闲时间读取和会议创建、Salesforce 线索修改
- 研究人员给出的严重性为默认确认模式 CVSS 7.7、无确认模式 CVSS 9.6;该评分并非 Anthropic 官方 CVE 评分
技术分类归属:应用层 / Agent层 / 浏览器扩展层 / SaaS 身份与数据层
事件标签:云AI融合
事件背景与回顾
事件背景与架构形态:Claude 浏览器 Agent 已获得用户对多个 SaaS 的授权,扩展以一个带 data-task-id 的页面元素作为内置任务入口。浏览器会把脚本生成的点击标记为 isTrusted=false,但扩展事件处理器只读取任务 ID,没有验证点击是否源自物理用户操作,于是页面 DOM 成为低信任扩展与高权限 Agent 之间的控制通道。
图4. Claude for Chrome 接受 isTrusted=false 合成点击的 PoC
时间线:
- 2026-05-21:Manifold Security 向 Anthropic 报告 Claude for Chrome v1.0.72 中的合成点击和权限初始化问题。
- 2026-05-22:Anthropic 确认收到报告;后续将合成点击纳入更广泛的信任边界问题,并把
skipPermissions=true发现归类为信息项。 - 2026-05 至 07 月:Anthropic 连续发布 v1.0.73 至 v1.0.80,但研究涉及的内容脚本与侧边栏处理逻辑未发生对应变化。
- 2026-07-07:Manifold 在 v1.0.80 上复测,确认两个问题仍可复现。
- 2026-07-14:Manifold 公开研究及攻击链细节。
- 2026-07-16:事件被安全媒体集中报道;截至本期截止时,未确认野外利用或针对该具体处理器的新修复。
事件根因深度分析
- 基础设施与云配置错误:浏览器扩展共享同一页面 DOM,但权限与信任等级不同。只要恶意扩展获得
claude.ai页面执行权,就能借 Claude 已建立的 Google/Salesforce 授权进入更高价值的 SaaS 数据面。 - AI 供应链与存储缺陷:风险来自浏览器扩展生态的组合安装,而非单个模型权重。用户对多个扩展的授权会在同一浏览器进程和页面环境中叠加,低价值扩展可利用 Agent 的跨应用连接放大权限。
- 前沿算法/工程逻辑缺陷:问题不在模型推理,而在 Agent 启动器把 DOM 点击等同于用户意图。预定义任务白名单限制了提示内容,却没有验证触发动作的来源,因此“允许执行什么”与“谁授权执行”只完成了前一半。
- 复合依赖与应急响应缺陷:确认弹窗仍基于受污染的启动上下文;用户看到的是 Claude 正在执行一个熟悉任务,而不是哪个扩展触发了它。仅撤销恶意扩展还应同时审查 Claude 权限模式、Google Workspace 活动及 Salesforce 对象变更。
- 边界防御与分层隔离缺陷:
Act without asking将高权限任务从逐次确认转为静默执行,而skipPermissions=true还构成潜在的权限升级原语。缺少触发者身份、用户手势证明和任务级数据访问审计,使浏览器 Agent 难以实施最小授权。
VERIZON DBIR 事件分类
- System Intrusion:恶意扩展可借浏览器 Agent 进入用户已授权的企业 SaaS 工作流。
- Privilege Misuse:Claude 的合法跨应用权限被一个未被验证的合成事件触发。
攻击路径与 MITRE ATT&CK 技术映射
事件三 AI Agent 因可信与外部数据未隔离遭 ADI 污染,导致命令执行与供应链风险
事件简介
事件概述:AI Agent 是将大模型与浏览器、代码仓库、本地命令或外部工具连接起来,并能代表用户观察环境、作出判断和执行操作的软件系统。首尔大学、伊利诺伊大学厄巴纳-香槟分校与 Largosoft 研究人员提出 Agent Data Injection(ADI)。与把恶意指令藏进外部内容的传统间接提示注入不同,ADI 将攻击数据伪装成 Agent 信任的元数据或上下文,例如页面元素 ID、邮件发送者、GitHub 评论作者、工具调用记录和返回值。Agent 并未偏离用户任务,却基于被污染的“事实”选择错误对象或执行错误动作。研究在 Claude in Chrome、Antigravity、Nanobrowser、Claude Code、Codex 和 Gemini CLI 上给出可复现 PoC;截至本期没有公开野外利用报告。
事件时间:2026-07-16 集中报道,论文于 2026-07-06 提交
事件链接:https://arxiv.org/abs/2607.05120
影响范围:
- Web Agent 可被植入重复或可预测的页面元素 ID,导致 Agent 点击购买等错误按钮
- 编码 Agent 可把攻击者伪造的 GitHub 评论识别为维护者建议,在用户批准后执行本地命令
- 恶意 PR 可伪造未实际运行的检查结果,影响 Agent 的代码审查与合并判断
- 研究覆盖 GPT-5.2/GPT-5-mini、Claude Opus 4.5/Sonnet 4.5、Gemini 3 Pro/Flash 等模型;成功率因数据形态和 Agent 而异,不能外推为所有部署的统一风险值
技术分类归属:数据层 / Agent层 / 提示词工程 / Hardness / Loop Engineering
事件标签:AI相关
事件背景与回顾
事件背景与架构形态:Agent 将系统指令、用户目标、外部内容、结构化字段和工具历史共同序列化进上下文。现有防御重点识别外部数据中的“指令语气”,但 ADI 不要求攻击文本看起来像命令;攻击者只需让可控字符被模型概率性地解释为字段边界或可信元数据,即可改变 Agent 对对象身份和执行历史的判断。
时间线:
- 公开前:研究团队向 OpenAI、Google、Anthropic 和 Nanobrowser 通报相关发现。
- 2026-07-06:论文 v1 提交至 arXiv,公开 ADI 攻击模型、实验结果和 PoC 场景。
- 2026-07-16:事件被安全媒体集中报道,攻击影响扩展到 Web Agent 与编码 Agent 场景。
- 本期截止时:公开材料称 OpenAI、Google 和 Anthropic 已确认攻击有效,但未披露统一修复计划,也没有 ADI 被野外利用的公开证据。
事件根因深度分析
- 基础设施与云配置错误:Web 页面、GitHub Issue/PR 和工具返回值是 Agent 的外部数据入口;当它们连接本地 shell、仓库写权限或云工具时,数据解析错误会被放大为真实执行与供应链风险。
- AI 供应链与存储缺陷:代码评论、维护者身份、检查记录与工具历史被存入同一上下文,却没有可验证的来源标签。攻击者能污染公开协作区,再借 Agent 对“维护者意见”或“检查已通过”的信任进入私有开发流程。
- 前沿算法/工程逻辑缺陷:LLM 以概率方式理解引号、括号、标签和换行,不具备传统解析器的严格字段边界。即使攻击字符不是合法分隔符,模型也可能把它解释为新的结构,从而伪造元素、作者或工具结果。
- 复合依赖与应急响应缺陷:人类审批看到的理由同样建立在伪造数据上,因此“人类在环”只能确认 Agent 的结论,无法证明其事实来源。单纯增加提示注入分类器也难以识别不包含恶意指令的数据伪造。
- 边界防御与分层隔离缺陷:多数 Agent 没有在上下文内强制区分平台签名字段、工具产生字段和用户可编辑字段。研究显示,完整数据来源跟踪可阻断攻击,但明显降低普通任务完成率,说明安全修复需要在可信结构化通道与 Agent 可用性之间重新设计边界。
VERIZON DBIR 事件分类
- System Intrusion(研究型攻击路径):PoC 展示了从外部数据污染到本地命令执行和代码供应链变更的可行链路。
- Privilege Misuse(研究型攻击路径):Agent 在合法权限内执行动作,但决策依据被攻击者伪造。
攻击路径与 MITRE ATT&CK 技术映射
事件四 ShareFile 因目录边界校验缺失遭越界访问,导致服务器文件任意读写
事件简介
事件概述:ShareFile Storage Zone Controller(SZC)是部署在客户自管 Windows 服务器上的存储组件,用于保存企业文件,同时接入 ShareFile 云端的身份认证、权限、审计和协作能力。Progress Software 确认,一项高危路径遍历零日漏洞是其此前紧急关闭 SZC 访问的原因。该漏洞影响全部 5.x 和 6.x 版本;已认证的管理员可读取应用服务账号可访问的任意文件、向任意目录写入攻击者控制的内容,或枚举服务器文件系统。Progress 已发布 5.12.5 与 6.0.2 修复。厂商此前收到“可信外部安全威胁”信息,但截至 7 月 14 日表示没有发现客户账号或数据被未授权访问,也未确认活动攻击。
事件时间:2026-07-14
事件链接:https://www.bleepingcomputer.com/news/security/progress-confirms-sharefile-zero-day-flaw-behind-storage-zone-shutdown/
影响范围:
- 影响 ShareFile Storage Zone Controller 5.x、6.x,修复版本为 5.12.5、6.0.2 及后续版本
- 利用需要已认证的管理身份,影响权限受 SZC 应用服务账号的文件系统权限约束
- 风险资产包括客户自管 Windows 存储服务器上的文件、应用配置、日志及可能存在的服务凭证
- CVE 编号已预留但在本期截止时尚未公开;不得将尚未发布的编号、PoC 或攻击者归因写成已确认事实
技术分类归属:基础设施层 / 应用层 / 混合云存储层 / 云身份与协作控制面
事件标签:云
事件背景与回顾
事件背景与架构形态:SZC 由客户管理并保存实际文件,ShareFile 云平台继续提供身份认证、权限、审计和协作能力。这种架构把 SaaS 控制面与本地数据面连接起来:云端账号和权限决定谁能进入,本地 Windows 服务账号决定进入后可读写哪些文件。
时间线:
- 2026-W28:Progress 收到可信外部威胁信息,要求客户立即关闭 SZC Windows 服务器,并暂时停用依赖 SZC 的 ShareFile 账号访问。
- 2026-07-14:Progress 确认调查发现高危路径遍历漏洞,影响全部 SZC 5.x 和 6.x 版本。
- 2026-07-14:厂商发布 5.12.5 和 6.0.2 修复版本,允许客户完成升级后恢复 SZC 上线。
- 本期截止时:CVE 编号仍处于预留状态;厂商表示尚未发现客户账号或数据遭未授权访问,也未确认活动攻击。
事件根因深度分析
- 基础设施与云配置错误:应用未能把管理员可控路径约束在预期存储根目录内,使已认证管理面输入可以跨越目录边界;服务账号权限若过宽,将直接扩大任意读写范围。
- AI 供应链与存储缺陷:该事件不直接涉及模型或 Agent,但暴露了云协作平台的存储信任链:云端身份、权限与审计不能替代本地数据面的路径规范化和文件系统最小权限。
- 前沿算法/工程逻辑缺陷:根因属于确定性路径处理缺陷,不是算法攻击。关键工程问题是对用户可控路径进行拼接或规范化时,没有在最终解析后重新验证目标仍位于允许目录。
- 复合依赖与应急响应缺陷:处置必须同时覆盖 SaaS 账号、SZC 版本、本地服务账号权限和 Windows 主机取证。厂商先停服、后补丁、再延迟公开 CVE,降低了即时武器化风险,但也要求客户在技术细节有限时完成快速判断。
- 边界防御与分层隔离缺陷:获得管理身份后仍缺少独立的数据面约束;若 SZC 服务账号可访问配置、密钥或其他共享目录,路径遍历可越过单一 ShareFile 存储区。高价值文件存储不应与应用运行目录或凭证目录共享写权限。
VERIZON DBIR 事件分类
- System Intrusion(潜在路径):漏洞可把已认证管理入口转化为服务器文件读写能力。
- Credential Abuse(前置条件):公开利用条件需要有效管理员身份;当前没有证据证明真实攻击者已取得该身份。
攻击路径与 MITRE ATT&CK 技术映射
以下映射描述漏洞可支持的攻击路径,不代表厂商已确认对应技术在野外发生。
内容编辑:浦明
责任编辑:吕治政
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新研究院负责运营,绿盟科技创新研究院是绿盟科技的前沿技术研究部门,包括星云实验室、天枢实验室和孵化中心。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:绿盟科技研究通讯 星云实验室 星云实验室《AI与云安全事件案例分析周报|2026.07.13 – 2026.07.17》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论