一份伪造的漏洞报告就能劫持编码智能体——主流智能体成功率高达85%(Agentjacking,2026年6月)
摘要
研究人员发现,AI 编码智能体会执行隐藏在外来内容(如漏洞报告)中的指令,成功率高达85%。该漏洞利用了智能体对非自身生成输入的自动信任机制。
Tenet Security 与云安全联盟(Cloud Security Alliance)研究实验室的研究人员发现,AI 编码智能体会执行隐藏在它们应审查内容(如漏洞报告、README 文件、支持工单)中的指令。没有钓鱼链接,没有恶意软件。智能体只是信任了输入。当有效载荷伪装成常规漏洞报告时,他们在主流编码智能体上测得了85%的成功率。这里的关键模式是:只要智能体自动信任其未生成的外部内容,该内容就可能携带它不经询问就会执行的指令。同样的盲点出现在我报道的第二个案例中——一份“安全检查”README 文档,其中提到了真实工具,但当智能体以自动审核模式运行时,却启动了不同的有效载荷。好奇这里的其他人如何处理这个问题——你们是对智能体输入进行沙盒化,还是更侧重于从一开始就不授予智能体写入权限?
相似文章
@houjun_liu: 你的代码代理可能正在悄悄给代码植入漏洞!!你不想知道如何解决这个问题吗?提示:询问……
本文强调了 AI 代码代理可能给代码引入安全漏洞这一关键问题,指出仅仅要求生成安全代码是不足以防止这种情况发生的。
黑客可利用9种最流行AI工具组建大规模僵尸网络
研究人员设计了一种名为HalluSquatting的基于拉取的提示注入攻击,利用AI编程助手易出现资源标识符幻觉的特点,从而能够组建大规模僵尸网络并发起大规模攻击。
谷歌DeepMind研究人员揭示黑客劫持AI代理的多种方式
谷歌DeepMind研究人员发表了一篇题为'AI Agent Traps'的论文,该论文描绘了黑客用于劫持自主AI代理的六种攻击类型,包括content injection、semantic manipulation和behavioral control traps,并提出了分层防御措施。
我测试了AI代理修复真实安全漏洞。以下是我的发现。
独立研究对AI代理修复来自Python项目的20个真实漏洞进行了基准测试;最佳解决率为50%,昂贵模型不值得,以及危险的误报——代理生成了令人信服但不完整的修复。
你的AI代理刚刚被劫持了,而你却毫不知情。
本文警告了一种名为Crescendo攻击的多轮提示注入技术,它通过在多轮对话中污染AI代理的上下文来绕过单条消息的防御。文章介绍了Bendex Arc,一种跨会话追踪行为轨迹的工具,能在攻击执行前将其捕获。