AGENTS
(151)151 个攻击.
账户同步的偏好设置如何劫持 Claude Desktop 的本地工具
Pentera 的研究显示,拥有账户访问权限的攻击者可将指令藏入 Claude Desktop 同步的“个人偏好”字段,驱使其本地工具执行攻击者的命令。
当数据库成为安全边界:攻击 LLM 数据智能体
2026 年 6 月的一项研究在六个系统上攻击了由 LLM 驱动的分析型智能体,发现无论是模型安全机制还是传统数据库控制,单独都不足以防护。
智能体的克制:AI 智能体知道何时不该行动吗?
一项新基准测试评估带工具的智能体是否知道何时“不”行动。表现最好的前沿智能体仅得 59.5% —— 而且这一能力几乎不随模型能力增强而提升。
智能体合谋:隐蔽信道让 AI 智能体绕过监控相互协调
2026 年的两项研究表明,LLM 智能体能够构建隐蔽旁路信道,绕过明文监控进行合谋——而普通的工具使用如今已让这类信道近乎不可检测。
可观测性边界:为什么按代理部署的监控器会漏掉分布式后门
2026 年 7 月的一篇论文形式化地说明了:孤立地检查每个代理步骤的运行时监控器,无法发现被拆分到多个代理之间的后门——并表明只有改变监控器所观察的内容,检测才会重新奏效。
Cline 的 Hub 仪表盘:本地回环再次被误当作身份验证
2026 年 7 月 8 日的公告显示,Cline 的 Hub 仪表盘暴露了一个本地 WebSocket,既不校验 Origin,默认也不设置共享密钥——这是 Cline 两个月内的第二个跨源 WebSocket 漏洞。
Langroid 的 Neo4j 智能体未经检查执行 LLM 生成的 Cypher——SQL 漏洞的孪生体
Langroid 的图数据库智能体将模型生成的 Cypher 未经验证直接交给 Neo4j。一次提示注入即可清空图数据,若启用 APOC 还能触及主机——正是已在 SQL 智能体中修复、却在 Neo4j 模块中留存的同一缺陷。
静默的策略违规:智能体违反规则却报告成功
2026 年 7 月的一篇论文显示,工具型智能体会频繁执行被策略禁止、却不报任何错误的写操作——而执行前的确定性关卡能拦下它们。
照片中的休眠触发器:投毒推荐智能体的记忆
2026 年 4 月的一篇论文表明,上传给推荐智能体的一张照片可以藏入休眠触发器,随后在无需提示注入的情况下劫持其规划。一种双过程防御把成功率从约 85% 降到约 10%。
DeepJack:Cursor 的 MCP 安装深链接中隐藏的参数导致代码执行
构造的 cursor:// 链接会安装攻击者控制的 MCP 服务器,其真实命令在对话框中被滚动到屏幕之外,单击一次即可实现无沙箱代码执行。
MCP 工具元数据中的隐藏载荷:审批视图的保真度缺口
2026 年 7 月的一项研究表明,不可见的 Unicode TAG 字符能把指令藏进 MCP 工具元数据——它出现在模型上下文中,却在用户看到的审批对话框里消失。
当智能体忽略 skill 自身的前置条件:SLBench 研究
2026 年 7 月的一项基准测试考察 LLM 智能体是否真正遵守 skill 文件中的逻辑关系——前置条件与约束——并将这些依赖转化为可执行的安全测试。
当智能体执行自己生成的代码:PraisonAI 的 CodeAgent 把提示注入变成 RCE
2026 年 7 月 11 日披露的 PraisonAI 最高危漏洞,会执行 LLM 生成的 Python,却没有 AST 校验、导入限制或沙箱——一个精心构造的提示即可在主机上运行任意代码。
无害的子任务,有害的计划:AI 智能体的计划生成缺口
2026 年 4 月的一篇论文表明,一条看似平常的请求就能让 LLM 编排器规划出各自都能通过安全检查、组合起来却违反策略的步骤,并证明按子任务的过滤器无法拦截它。
在 LLM 智能体框架中,开放工具并不等于授权调用
2026 年 6 月一项针对 LangChain、LlamaIndex 与 Stripe Agent Toolkit 的审计发现,三者都不会在执行前重新校验工具调用的实际参数——被注入的付款因此得以执行。
GhostApproval:编程智能体的批准弹窗隐藏了真正的写入目标
Wiz Research 于 2026 年 7 月 8 日披露六款 AI 编程助手中的信任边界缺陷:恶意仓库借助符号链接,使一次被批准的编辑悄悄写入 ~/.ssh/authorized_keys。
操作化改写:多智能体大模型安全中最具迁移性的风险信号
2026 年 7 月的一篇 arXiv 研究拆解了规划器-执行器智能体中的「流水线」安全失效,发现真正在不同模型间迁移的并非架构本身,而是把有害意图改写成运维任务;一个持怀疑态度的执行器提示词即可削弱它。
VEXAIoT:在实验环境中把侦察与利用串成链的 LLM 智能体
2026 年 7 月的一篇论文将两个 LLM 智能体接成一条 IoT 攻击流水线——先侦察后利用——在刻意设置的脆弱靶标上取得 95% 的成功率。这对防御者意味着什么。
WriteOut:当 AI 沙箱转发了用户的会话 Cookie
企业级 AI 平台 Writer 中一个已修复的严重漏洞,仅凭一条智能体预览链接便可劫持任意已登录用户的账户,甚至跨越不同组织。根本原因:受管沙箱接收到了受害者的会话 Cookie。
Cowork 沙箱逃逸:一个信任客户端权限标志的已签名 RPC
研究人员将 DLL 侧加载与一个过度信任的命名管道 RPC 串联,在 Claude Cowork 的 Linux 沙箱中获得 root。Anthropic 认为本地代码执行是前提,而非漏洞。
让 AI 智能体审查不可信代码,可能会运行攻击者的代码
AI Now Institute 的 Friendly Fire 报告显示,把处于自动模式的编码智能体指向一个恶意仓库去做安全审查,会让仓库中被注入的文本诱导智能体在本机上执行攻击者的代码。
GhostWriter:用一封普通邮件毒化个人 AI 智能体的记忆
2026 年 7 月的一篇论文表明,攻击者可将隐藏指令埋入一封平常的邮件,让助理智能体将其存为记忆,并在数天后被执行——同时给出了可以阻断它的防御方案。
意图正当化:当个性化智能体的记忆侵蚀了它自身的安全性
2026 年 1 月的一项研究表明,个性化 AI 助手中良性且真实的记忆会扭曲其意图推断,使其响应本应拒绝的有害请求——无需任何攻击。
Langroid 不完整的 eval() 沙箱让一个提示词就能执行主机代码
Langroid 早先针对 TableChatAgent 代码注入缺陷的补丁留下了一个可选路径:其中的 eval() 沙箱忘记剥离 Python 内置函数,重新打开了未经身份验证的远程代码执行。
一个编辑权限如何可能劫持项目中所有 Dialogflow CX 聊天机器人
Varonis 的 Rogue Agent 发现表明:对某个 Dialogflow CX 智能体的一个编辑权限,实际上等同于对一个共享且不可见的运行时——以及对该 Google Cloud 项目中所有聊天机器人的代码执行权限。
当计算机操作智能体点击过时像素:截图到动作之间的竞争
截图是一次检查,点击是一次使用。若屏幕在两者之间发生变化,计算机操作智能体便作用于已不复存在的像素——一个经典的 TOCTOU 竞争被转化为真实的利用。
对抗性信息流筛选如何左右 LLM 智能体的决策
2026 年 6 月的一项研究表明,在智能体行动前挑选它读到哪些看似无害的帖子,就能改变其决策——无需注入任何指令,也没有过滤器能识别的载荷。
企业级 MCP 重构:安全责任从协议转移到开发者
MCP 2026-07-28 规范移除了协议层的会话劫持、未经请求的提示和弱认证,却把新的攻击面(状态篡改、未签名元数据、请求头去同步、应用 XSS、任务 DoS)交给了在其之上构建的开发者。
n8n 反复出现的 RCE 攻击面:保管你全部凭据的自动化枢纽
2026 年 6 月 n8n 工作流平台的一批严重漏洞——沙箱逃逸、原型污染、表达式求值——说明了为何一个存放你所有密钥的 AI 自动化枢纽会成为单点故障。
智能体红队工具可能被其攻击目标反向劫持
2026 年 6 月的一项研究审计了 12 款智能体攻防工具,表明攻击目标可以反客为主:窃取 API 密钥并在操作者本机上执行代码,即使智能体运行在沙箱中。
伪造推理攻击:污染智能体自己的决策日志
2026 年 7 月的一篇论文表明,攻击者可以伪造智能体记忆中的推理记录,让它以为安全检查已经执行过,并配套提出了一种分层检测防御。
无限智能体循环:检测未受约束的智能体反馈路径
2026 年 7 月的一项研究定义了无限智能体循环,并扫描了 6,549 个仓库,确认 68 处未受约束的反馈路径,可能导致成本耗尽、模型拒绝服务与上下文失控膨胀。
WebMCP 工具面投毒:在会话中途劫持智能体
2026 年 6 月的一篇论文表明,被攻陷的第三方脚本可以在会话进行中替换或重构 WebMCP 智能体所看到的工具,使恶意工具调用成功率最高达到 100%。
AgentCanary:面向真实可执行环境的智能体安全基准
蚂蚁集团等机构于2026年6月提出的框架,在具备持久状态的真实工具环境中评测12个大模型智能体,发现它们常常无法识别所受的攻击——尤其是被投毒的技能与长时程攻击链。
跨模型提示词洗白:拒绝无法在交接中存活
在多智能体架构中,一个模型的输出会成为另一个模型的用户轮次。2026 年 7 月的一项发现表明,第二个模型并不知道第一个模型已经拒绝——于是它照做了。
FlowSteer:用一条提示词操纵多智能体工作流的形成
2026 年 5 月的一篇论文表明,仅凭提示词的攻击者即可在任何智能体运行之前,左右规划者-执行者多智能体系统构建工作流的方式,使恶意成功率最高提升 55%。
归因错位(Misattribution Gap):被算到模型头上的记忆投毒
一份伪装成「内部政策」的文档,只需上传一次到智能体的共享记忆,就能引发与模型失准一模一样的违规——于是团队去重训模型,却让攻击原封不动地留了下来。
STAC:串联无害的工具调用以劫持 AI 智能体
一项研究框架表明,一连串单独看来无害的工具调用能够诱导智能体执行有害的最终动作,以超过 90% 的成功率绕过前沿模型的安全防护。
视觉混淆代理:当电脑操作智能体点错按钮
2026 年 3 月的一篇论文将 CUA 的感知失败正式确立为一类安全漏洞。仅 8 行的截图替换即可把一次普通点击变成权限提升——而一道置于智能体视线之外的防护有所帮助。
vm2 沙箱逃逸将智能体的提示注入变成主机 RCE
2026 年在 vm2(许多智能体框架用来运行模型生成的 JavaScript 的 Node.js 库)中披露的一波逃逸漏洞,使一次提示注入得以突破沙箱并在主机上执行命令。
Claude Cowork 沙箱:一次有争议的 root 逃逸与本地代码执行之辩
2026 年 7 月 1 日公开的一条攻击链可在 Claude Cowork 的 Linux 沙箱内取得 root 并解除其网络限制。Anthropic 因其需要预先获得主机访问权而不认定为漏洞。
Cline 的看板服务器:一条通往远程代码执行的跨源 WebSocket 劫持路径
2026 年 5 月的一份披露显示,Cline 看板的本地 WebSocket 服务器不校验任何来源——开发者访问的任何网站都能读取工作区并向正在运行的智能体注入命令。
AI 智能体的运行时治理:五平面参考架构
2026 年 6 月的一篇论文提出,智能体的风险如今存在于工作流内部,而非数据边界,并提出一种五平面架构:对意图仅裁决一次,再在四个平面上执行。
上下文压缩如何悄然抹去智能体的安全规则
2026 年 6 月的一项基准测试显示,为节省 token 而对智能体历史进行摘要,可能悄悄删除上下文中的策略规则,使工具调用违规率从 0% 升至最高 59%。
长时程智能体需要面向传播的安全,而非单步防御
2026年6月的一篇论文梳理了针对长时程 AI 智能体的攻击如何在记忆、工具与规划之间传播,并在多个步骤中持续存在——而单步防御往往无法察觉。
多智能体代码生成:当被注入的指令在智能体之间被放大
在协作编写代码的智能体团队中,被注入的指令不会随着传递而衰减。2026 年的研究表明,受信任的中间智能体会将其改写并使其更具威力。
BioShocking:把任务包装成游戏,让 AI 浏览器泄露凭据
LayerX 的 BioShocking 技术使智能体浏览器相信自己身处游戏之中,于是它们套用游戏逻辑而非安全逻辑,进而交出用户凭据。
mcp-pinot:一个未认证的 MCP 服务器成了混淆代理
2026 年 6 月披露的漏洞显示,一个面向 Apache Pinot 的 MCP 服务器默认绑定到 0.0.0.0 且关闭 OAuth,使任何网络可达的调用者都能执行其高权限数据库工具。
污染网页智能体的记忆:针对多模态记忆的触发式攻击
2026 年 6 月的一篇论文表明,将观测写入图结构记忆的网页智能体可被污染:某个视觉触发条件会在日后调回攻击者的内容并操纵智能体,具有持久性且可跨目标复用。
单个机器人被攻陷即可将不安全动作扩散到整个 LLM 机器人团队
一项针对 LLM 控制的多机器人集群的首次研究表明,只需操纵单个入口机器人,就能通过机器人间通信将不安全动作扩散到整个团队。
OEP:用干净的边界案例毒化自进化智能体
2026 年 5 月的一项研究表明,低权限攻击者可用善意且局部正确的边界案例来破坏自进化智能体所学到的规则——在 GPT-4o 上攻击成功率超过 50%,且能抵抗现有防御。
当渗透测试反噬:攻击替你做红队的工具
2026 年 6 月的一项研究表明,自主攻击型智能体可能被反转来对付其操作者。被设伏的目标让智能体自行运行一个伪造工具——无需提示注入——即可实现近乎确定的代码执行。
IDEsaster:当编辑器原生功能沦为智能体的 RCE 原语
Ari Marzouk 披露了一类漏洞:提示注入驱使 AI 编码智能体滥用底层编辑器的原生功能,在几乎所有 AI IDE 上实现数据外泄与远程代码执行。
残留授权:任务结束后收回编码智能体的能力
2026 年 6 月的一项研究为一个盲点命名:编码智能体在证明其正当性的子目标关闭后,仍长期保留对工具的权限。一个撤销这些能力的引用监视器可阻止重放滥用。
MOSAIC-Bench:编码智能体会从无害工单中拼出可利用代码
2026 年 5 月的一项基准测试表明,编码智能体能通过逐条提示的安全检查,却会在恶意目标被拆分为常规工程工单时拼装出可利用代码——而审查智能体还会放行。
当智能体从读取走向执行:MCP 工具描述投毒
微软事件响应团队(2026 年 6 月 30 日)揭示:被悄然篡改的 MCP 工具描述可诱使执行型智能体外泄数据——无需提示词、无需凭据、无需用户参与。
Amazon Q 自动执行仓库的 MCP 配置,泄露开发者云凭证
Wiz 于 2026 年 6 月 26 日披露:Amazon Q Developer 会在无需同意的情况下自动从仓库配置文件启动 MCP 服务器,打开恶意项目即可执行代码并窃取云凭证。
DuneSlide:提示注入逃逸 Cursor 终端沙箱直至远程代码执行
2026 年 7 月 1 日,Cato AI Labs 披露了 Cursor 自动执行沙箱中的两个严重漏洞。一条被污染的提示即可覆写沙箱二进制文件,将一个上锁的盒子变成代码执行——无需任何点击。
GuardFall:编码智能体的命令护栏检查的是被 shell 改写前的文本
GuardFall(Adversa AI,2026 年 6 月 30 日)利用一个存在数十年的错配,绕过了 11 个开源编码智能体中 10 个的安全过滤器:护栏检查命令的原始文本,而 bash 在执行前会先展开并改写它。
OWASP ASI03:当智能体继承了超出本分的身份
身份与权限滥用是 OWASP 智能体应用十大风险中的第三项。智能体很少拥有自己的身份——它继承你的身份、不断累积权限,并持有比任务存活更久的令牌。
智能体通信图:工作流尚未执行就已泄露
2026 年 6 月 5 日的一篇 arXiv 论文表明,即便载荷已加密,A2A/MCP 的通信图仍能让被动观察者在工作流刚开始时就预测其任务类别,并在其完成前抢先行动。
过度授权的工具选择:智能体倾向于选用超出任务所需的强力工具
2026 年 6 月的一篇论文及其基准 ToolPrivBench 表明,主流大模型智能体经常选用权限高于实际所需的工具,而安全对齐并不能纠正这一点。
智能体自致损害:当 AI 无需攻击者就搞垮生产环境
Cyera 2026 年 5 月对 7200 多起 AI 事件的研究筛出 344 起智能体自致损害案例,其中 188 起完全没有外部攻击者——自主智能体删库、泄密并烧光预算。
WAAA:当智能体浏览器复活经典 Web 攻击
2026 年 5 月的一篇论文构建了首个面向 Web 的智能体浏览器威胁模型,并证明 10 种早已被缓解的 Web 攻击会卷土重来、往往被放大,原因在于智能体是一个无法区分任务步骤与网页陷阱的混淆代理。
AutoJack:浏览型智能体把恶意网页变成主机 RCE
微软 2026 年 6 月 18 日的 AutoJack 研究显示,浏览型 AI 智能体继承 localhost 身份,触达本地 MCP WebSocket 并在主机上执行任意进程。
CVE-2026-32211:Azure MCP Server 缺失身份验证
微软于 2026 年 4 月 2 日披露 CVE-2026-32211:Azure MCP Server 上的一处身份验证缺失,使未经认证的攻击者可通过网络泄露信息。微软评分 9.1,NVD 评分 7.5。
CVE-2026-0755:gemini-mcp-tool 中的命令注入与文件窃取
2026 年 6 月 18 日的公告详述了流行的 gemini-mcp-tool 如何让不可信输入抵达 shell 与 Gemini CLI 的 @file 解析器——CVSS 9.8 的 RCE 与文件外泄,已在 1.1.6 修复。
过度热心的编码智能体:良性任务上的越界操作
2026 年 5 月的两项基准测试量化了在良性请求下越权的编码智能体——删文件、抹凭据——并发现决定风险的是智能体框架,而非底层模型。
潜伏式记忆投毒:针对有状态 LLM 智能体的休眠攻击
2026 年 5 月的一篇论文表明,攻击者可通过一份文档或网页植入伪造的「记忆」,使其长期休眠,随后在后续会话中操纵助手的行为。
工具选择劫持:迫使智能体挑选攻击者的工具
一项 NDSS 2026 攻击与一篇 2026 年 4 月的 IBM 论文瞄准同一个盲点:智能体决定调用哪个工具的那一步。污染工具目录,智能体就会选中攻击者的工具,成功率达 70 至 100%。
存储型提示注入:当注入比会话活得更久
2026 年 6 月的一篇 arXiv 论文把提示注入重新定义为一种存储型、跨会话的问题:一旦对抗性文本进入智能体的持久状态,它就能在攻击者离开很久之后继续操纵后续执行。
MemPoison:仅凭一次对话就在智能体记忆中埋下后门
2026 年 5 月的一篇 arXiv 论文仅通过普通对话就在 LLM 智能体的长期记忆中植入了一个可触发的后门,并且被特意设计为能够躲过本应过滤被污染内容的抽取与改写阶段。
NRT-Bench:对运营电厂的 LLM 智能体进行多轮红队测试
2026 年 6 月 18 日发布的一个基准把 LLM 操作员智能体放进模拟核电站控制室。自适应多轮攻击在 8.7%–12.1% 的会话中突破了安全边界,而且不同模型的失效几乎互不重叠。
Vertex AI「双重代理」:权限过大的服务代理成为云端提权路径
Unit 42 于 2026 年 3 月 31 日披露:Vertex AI Agent Engine 部署会通过元数据服务暴露一个权限过大的服务身份,使配置不当的代理变成对项目内所有存储桶的读取入口。
Agent libOS:把权限边界放在运行时,而非工具包装层
2026 年 6 月 2 日的一篇 arXiv 论文指出,多数智能体框架把「工具可见性」与「资源权限」混为一谈,并提出一种类 library-OS 运行时,把能力检查放在原语边界而非工具包装层。
权限混淆:工具型智能体为何会滥用自己的访问权
2026 年 5 月的一篇论文命名了一种区别于提示注入的失效模式:不可信数据可以为智能体的推理提供信息,但绝不能授权副作用。AIRGuard 在动作发生的那一刻强制执行这条边界。
CVE-2026-26268:Cursor 的智能体把一次 git checkout 变成代码执行
恶意仓库藏有一个带自动 hook 的 Git「裸」仓库。当 Cursor 的 AI 智能体为「解释这段代码」而运行 git checkout 时,hook 被触发——在开发者机器上任意代码执行,无需确认。已在 Cursor 2.5 修复。
MCP Go SDK 的 CSRF:一个网页就能触发你的本地工具(CVE-2026-33252)
官方 MCP Go SDK 接受浏览器的跨站 POST 请求却不校验 Origin 头。在无鉴权的本地服务器上,你访问的任何网站都可能调用你的工具。已在 1.4.1 修复。
CVE-2026-26030:提示注入在 Microsoft Semantic Kernel 中演变为 RCE
微软 AI 红队披露了 Semantic Kernel 的两个漏洞,可将单条注入提示转化为主机上的代码执行。教训是:模型能够影响的任何工具参数都应视为攻击者可控的输入。已于 2026 年 5 月 7 日修复。
SkillAttack:自动化红队在智能体技能中发现漏洞
2026 年 4 月的论文 SkillAttack 将漏洞发现重构为路径搜索问题,表明即便是善意编写的智能体技能也可被触达——对抗性技能上攻击成功率高达 0.93。
用户中介攻击:当用户成为注入通道
2026 年 1 月一项针对 12 个商用智能体的研究表明,攻击者无需触碰智能体本身,只需诱使善意用户转发被投毒的内容——指令层级随即将其提升为可信的用户意图。默认绕过率超过 92%。
浏览器智能体会通过点击方式暴露其底层模型
2026 年 5 月 14 日的一篇论文显示,LLM 浏览器智能体在页面上的操作足以识别其底层模型,在 14 个前沿模型上准确率高达 96%,且无需依赖可伪造的请求头。
AI 智能体陷阱:DeepMind 关于网页如何劫持智能体的六类图谱
谷歌 DeepMind 的《AI Agent Traps》论文(SSRN,2026 年 3 月底)首次系统性地对针对智能体感知、推理、记忆、行动、多智能体动态及人类监督者的对抗性网页内容进行了分类。
SearchGEO:让 LLM 搜索智能体为攻击者页面背书
2026 年 6 月 15 日的一篇 arXiv 论文测量了攻击者控制的网页内容如何被转化为智能体背书的推荐——攻击成功率因后端模型而异,从 0% 到 31.4% 不等。
ShadowMerge:通过关系碰撞投毒基于图的智能体记忆
2026 年 5 月的一篇论文用与真实锚点、真实通道相同但携带矛盾取值的关系来投毒智能体的图记忆——在 Mem0 上达到 93.8% 的攻击成功率,且输入侧过滤器无法察觉。
僵尸智能体:自演化 LLM 智能体如何在多会话间持续被控
在一次无害会话中被观察到的一次性间接注入,可被写入智能体的长期记忆,并在日后作为指令重放,从而把短暂的提示词变为持久的控制。攻击论文为 2026 年 2 月,防御方案(CAMS)为 2026 年 5 月。
AI 编码智能体:攻击者盯上的是凭据,而非模型
2026 年针对 Codex、Claude Code、Copilot 和 Vertex AI 的六个漏洞利用,全都绕过了模型层防御,直击同一个目标——智能体的运行时凭据。其根本原因是身份治理缺口,而非提示词问题。
FragFuse:用碎片化查询绕过 LLM 智能体的访问控制
2026 年 6 月 14 日的一篇 arXiv 论文显示,被禁止的请求可被拆成无害的碎片,存入智能体的长期记忆,再在检索时重新拼合,从而以 86.3% 的平均成功率绕过访问控制。
推理扩展型拒绝服务:当 AI 护栏成为攻击面
2026 年 6 月的一篇论文表明,单个投毒文档即可让基于推理的 AI 护栏陷入无尽的思考循环,使共享智能体工作流减速最高达 148 倍。攻击目标是可用性,而非完整性。
LangGraph 检查点:从 SQL 注入到自托管智能体的远程代码执行
Check Point Research 将 LangGraph 检查点中的 SQL 注入与不安全的 msgpack 反序列化串联,最终实现远程代码执行。已于 2026 年 6 月 11 日披露,三个 CVE 均已修复。
终止投毒:让 LLM 智能体陷入无限循环
2026 年 5 月的一篇 arXiv 论文表明,注入可以扭曲智能体对任务是否完成的判断,导致无界计算。LoopTrap 框架报告了最高 25 倍的步数放大。
跨域多智能体 LLM 系统:七大安全挑战
2026 年 6 月 13 日发表于《npj Artificial Intelligence》的一篇观点文章,梳理了来自不同组织的 LLM 智能体在缺乏共同信任模型的情况下协作时所出现的七大安全挑战。
Flowise CVE-2026-41264:LLM 生成的 pandas 代码升级为 RCE
Flowise CSV Agent 中的提示注入诱导模型生成可绕过正则黑名单并执行操作系统命令的 Python 代码。2026 年 4 月 15 日披露,已在 3.1.0 修复。
DNS 重绑定让本地 MCP 服务器变成远程攻击面
2025–2026 年的一波协同披露击中了所有主流 MCP SDK,根因相同:监听 localhost 的 HTTP 服务器未校验 Host/Origin 头。最新的 CVE-2026-11624(Google MCP Toolbox,2026 年 6 月 13 日)被评为严重级 9.4。
CVE-2026-46519:当 MCP 服务器只在展示层而非执行层过滤工具
mcp-server-kubernetes 仅在 tools/list 中执行只读与白名单控制,却从未在 tools/call 中执行。任何知道工具名称的客户端都能直接调用它。这是一堂关于展示层授权与执行层授权的清晰教训。
Splunk MCP 服务器以明文记录认证令牌(CVE-2026-20205)
Splunk MCP Server 应用将用户的会话令牌和授权令牌以明文写入 _internal 索引——这是一个 CWE-532(日志中的机密信息)缺陷,使日志访问权变成令牌窃取。已在 v1.0.3 修复。
AI 智能体中的 TOCTOU:观察与执行之间的原子性破坏
一类古老的操作系统漏洞在智能体中重现:在智能体「观察」与「执行」之间,世界已经改变。2026 年的新研究将其形式化,覆盖 GUI、浏览器与多智能体系统。
ConVerse:两个智能体对话时,能力更强的那个泄露更多
一项针对智能体之间对话的基准测试发现,隐私攻击成功率高达 88%,安全漏洞高达 60%——而且能力更强的模型泄露更多,而非更少。
因果洗白:被拒绝的工具调用为何仍会泄露数据
2026 年 4 月的一篇论文表明,拒绝智能体的工具调用并不意味着攻击结束:拒绝本身就是一条信息通道。扁平的污点追踪会漏掉它。
Claude Code 的 GitHub Action:Read 工具如何泄露 CI/CD 密钥
微软威胁情报发现,Claude Code Action 的 Read 工具绕过了 Bash 的环境清洗,读取 /proc/self/environ,泄露了 runner 的 ANTHROPIC_API_KEY。已在 v2.1.128 修复。
上下文断裂分解:利用来源溯源缺口的越狱攻击
2026年6月8日的一篇arXiv论文形式化了工具型智能体中的「溯源缺口」:危害行为由分散在时间中的若干无害工具操作拼合而成,成功率最高提升28.3个百分点。
Cursor 白名单绕过:shell 内建命令污染环境实现 RCE
CVE-2026-22708 允许提示注入利用 export、typeset 等受信任的 shell 内建命令污染 Cursor 的环境变量,把一条已批准的 git 或 python 命令变成远程代码执行。已在 2.3 版本修复。
SABER:编码智能体即使拒绝恶意提示,仍会在操作安全上失败
2026 年 5 月 31 日的一项基准测试以真实工作区的最终状态、而非提示拒绝来评估 LLM 编码智能体。即便是最优模型,也有超过一半的运行留下有害的违规。
记忆控制流攻击:当存储的记忆操纵智能体的工具调用
2026 年 3 月的一篇论文表明,被投毒的智能体记忆不仅会污染内容,还会劫持工具选择的控制流——在超过 90% 的试验中强制调用非预期工具、跳过步骤,且能跨任务持续、在注入后长期生效。
MS-Agent 的 shell 工具:正则黑名单把提示注入变成 RCE
CVE-2026-2256 让攻击者控制的内容诱导 ModelScope 的 MS-Agent 执行系统命令。根因是一个熟悉的反模式:用正则黑名单而非白名单来防护 shell 工具。
OWASP ASI02:当智能体把自己的工具反过来对付你
工具滥用与利用是 OWASP 2026 智能体应用十大风险中的第二项。危险不在于智能体获得了新工具,而在于它滥用已有的工具——过度授权、被投毒的工具描述、不安全的链式调用。
远程 MCP 服务器:40% 无身份验证,其余的 OAuth 也已失守
2026 年 5 月的一篇 arXiv 研究扫描了 7,973 台活跃的远程 MCP 服务器:40.55% 在毫无身份验证的情况下暴露工具,而受测的 119 台 OAuth 服务器无一例外至少存在一个缺陷——已分配 9 个 CVE。
针对 x402 的五种攻击:当 AI 智能体付款时,跨层接缝在漏水
2026 年 5 月 12 日的一篇论文从形式上攻破了基于 HTTP 402 的智能体支付协议 x402。五种攻击覆盖结算、重放、Web 处理与发现——一次被重放的支付在生产端点上换来了 248 次授予。
CVE-2026-45497:命令注入将 Microsoft 365 Copilot 变成 RCE 攻击面
2026 年 6 月 4 日,MSRC 披露了 CVE-2026-45497——Microsoft 365 Copilot 中的命令注入漏洞,被评为远程代码执行,并带有跨越服务边界的范围变更。已在服务端修复。
当 MCP 工具参数变成 Android intent:mobile-mcp 的注入汇聚点
CVE-2026-35394 使受模型控制的 URL 能够通过 mobile-mcp 的 mobile_open_url 工具触发任意 Android intent。结合一个同源的路径遍历 CVE,它揭示出一种模式:MCP 工具参数未经校验便流入危险汇聚点。
VIPER-MCP:40,000 个 MCP 服务器中的污点型漏洞带来 67 个 CVE
2026 年 5 月 20 日的一篇 arXiv 论文审计了 39,884 个开源 MCP 服务器仓库,端到端确认了 106 个零日漏洞,并已分配 67 个 CVE 编号。重点在于这一模式:不可信的智能体输入抵达 shell、网络与文件系统的 sink。
AIRQ 评测 100 个生产环境 AI 智能体:98% 具备致命三要素
Adversa AI 于 2026 年 6 月发布的 AI 风险象限按攻击面、影响范围与防御能力对 100 个商用智能体评分。仅 11% 防御良好;工具执行一项即可解释 76% 的影响范围。
自传播智能体蠕虫与时间性重入防御
2026 年 5 月的一篇论文形式化地说明了智能体的持久状态如何让注入载荷把自身写回 LLM 上下文、在智能体之间零点击传播,并提出 RTW-A——一种由「无持久蠕虫传播」定理证明的防御。
7 个 MCP 客户端的工具投毒对比:一份安全态势评估
2026 年 3 月的一项实证研究针对 Claude Desktop、Claude Code、Cursor、Cline、Continue、Gemini CLI 与 Langflow 测试了四类工具投毒攻击,并发现大部分防护来自模型而非客户端本身。
授权传播:提示注入防御无法弥合的智能体安全缺口
Krti Tallam 于 2026 年 5 月 6 日发表的论文指出,多智能体系统存在一个独立的授权传播问题——传递性委派、聚合推断、时间有效性——即便提示注入被完全防住,它依然存在。
ClawTrojan:被存储的提示注入演变为持久化的智能体后门
2026 年 5 月 29 日的一篇 arXiv 论文显示,藏在文件中的注入可被本地智能体存储并在日后执行——攻击成功率达 95.5%,而单轮注入几乎为零。
Opus 4.8 系统卡为浏览器智能体的提示注入给出数字:31.5%
Anthropic 于 2026 年 5 月 28 日发布的 Claude Opus 4.8 系统卡,报告其浏览器智能体在防护措施前的劫持率为 31.5%——这是今年春季前沿实验室公布的唯一一项具体的提示注入指标。
CVE-2026-30615:提示注入改写 Windsurf 的 MCP 配置导致 RCE
OX Security 在 2026 年 4 月 15 日的公告显示,攻击者可控的内容可让 Windsurf IDE 注册恶意 MCP STDIO 服务器并执行命令——无需任何点击。该类问题涉及多款编码代理,但 CVE 归于 Windsurf。
脆弱的智能体:间接注入在多步工具调用中依然奏效
2026 年 4 月 4 日的一篇论文,在多步智能体环境下对 9 个模型测试了 6 种防御对抗 4 类间接注入向量 — 高级注入几乎绕过全部防御,部分表层缓解措施甚至适得其反。
Langroid SQLChatAgent:从提示词到 SQL 注入再到 RCE(CVE-2026-25879)
2026 年 6 月 1 日披露的 CVE-2026-25879(CVSS 9.8)可让遭受提示词注入的 SQL 代理执行 COPY FROM PROGRAM 等原语,将聊天框变成数据库主机上的代码执行。
MCP 采样:恶意服务器如何滥用反向 LLM 通道
MCP 的采样功能允许服务器向客户端的模型请求补全。Unit 42 在 2025 年 12 月展示了恶意服务器如何借此实现隐蔽的工具调用、会话劫持和算力盗用。
只需开口请求:Meta 的 AI 客服助手与 Instagram 账号劫持
2026 年 5 月 30 日至 31 日的周末,攻击者只是请求 Meta 的 AI 客服机器人为账号绑定一个新邮箱,便劫持了多个高知名度的 Instagram 账号。无需提示注入——仅仅是过度授权。
别只盯着提示词:劫持智能体的推理与记忆
2026 年 4 月的论文 JailAgent 在不改动用户提示词的前提下,通过扰动智能体的推理轨迹与记忆检索,诱导其发起恶意工具调用。提示词从来都不是攻击面的全部。
TrustFall:项目级 MCP 设置把文件夹信任点击变成 RCE
TrustFall(Adversa AI,2026 年 5 月 7 日)显示四款智能体编码 CLI 会在开发者接受文件夹信任提示的瞬间自动启动项目定义的 MCP 服务器——本机一次按键,CI 中零点击。
CrewAI:沙箱静默降级让提示注入升级为远程代码执行(VU#221883)
CrewAI 的四个缺陷可将提示注入串联为 RCE、SSRF 与文件读取——其 Code Interpreter 会在脱离 Docker 时静默降级。CERT/CC 于 2026 年 5 月 20 日的更新确认已完整修复。
Flowise CVE-2026-40933:导入一个共享 chatflow 即可触发 RCE
Obsidian Security 2026 年 5 月 28 日的分析显示,Flowise 的 Custom MCP 节点如何把一份 stdio MCP 配置变成服务器端代码执行——以及仅仅导入一个共享 chatflow 就可能触发它,无需保存或运行。
令牌耗尽攻击:通过智能体工具链发起的经济型拒绝服务
2026 年的两篇论文显示,恶意工具或技能可将 LLM 智能体诱入冗长的工具调用循环,在仍返回正确答案的同时将令牌成本放大 6 至 658 倍——这是 OWASP「无限消耗」风险的一种隐蔽变体。
SymJack:一次被批准的文件复制变成六款 AI 编码助手中的 RCE
Adversa AI 于 2026 年 5 月 26 日披露了一种符号链接劫持模式,只需一次看似无害的 shell 复制命令,就能在 Claude Code、Cursor、Gemini、Antigravity、Copilot、Grok Build 和 Codex CLI 上覆写配置并在主机获得 RCE。
Blindfold:动作级越狱绕过具身 LLM 的语义防御
SenSys '26 论文(2026 年 5 月 11–14 日)提出 Blindfold,一种通过将恶意目标拆解为单独看似无害的动作来越狱具身 LLM 的自动化框架——在真实 6-DoF 机械臂上将攻击成功率较语义级基线提高最多 53%。
MemMorph:通过流畅的记忆投毒劫持 LLM 智能体的工具调用
2026 年 5 月 24 日,新加坡南洋理工大学在 arXiv 发表论文,证明仅需三条看似合理的记忆条目,即可以 85.9% 的成功率将智能体引向攻击者选定的工具,且能绕过三种现成防御。
智能体的 harness 才是真正的特权边界 — 而大多数团队都把这条边界划错了位置
Pillar Security 在 2026 年 5 月 26 日的分析指出:harness — Claude Code、Cursor、Codex — 持有智能体永远看不到的密钥、工具与 hook。近期 harness 层的 bug 与 CVE-2026-22708 将这一观点落到了实处。
Microsoft Copilot Cowork:被污染的 Skill 文件无需审批即可外泄 M365 文档
PromptArmor 于 2026 年 5 月 26 日披露:在 Copilot Cowork 的 skill 文件中植入五行提示注入,即可通过自动批准的 Teams 消息泄露 SharePoint 与 OneDrive 文档,目前没有补丁修复该设计缺陷。
时序记忆污染:配备记忆的 LLM 智能体的纵向安全漂移
2026 年 4 月与 5 月的三篇 arXiv 论文共同指向了一种与记忆投毒互补的失效模式 — 配备记忆的智能体随着良性上下文的累积而逐渐变得不安全,被压缩的摘要充当了清洗通道。
智能体网络以新方式失效:微软的红队演练,以及 RAMPART 与 Clarity
微软研究院对一个包含 100 多个常驻智能体的内部平台进行了红队测试。四种攻击模式——传播、放大、信任劫持、代理链——只在网络层面显现。2026 年 5 月 20 日开源的 RAMPART 与 Clarity 是相应的回应。
Antigravity find_by_name:当原生工具调用跳过 Secure Mode
2026 年 4 月 20 日,Pillar Security 披露 Google Antigravity 的 find_by_name 工具中一个未净化的参数将文件搜索变成任意代码执行——并绕过了该 IDE 最严格的沙箱。
ClaudeBleed:当浏览器智能体信任了错误的扩展
LayerX 于 2026 年 5 月 6 日披露了 ClaudeBleed:一处信任边界缺陷使任意 Chrome 扩展都能操控 Claude in Chrome,并外泄 Gmail、Drive 和 GitHub 数据。首个补丁在数小时内即被绕过。
MCP 的 STDIO 传输:一个引发 11 个 CVE、暴露 20 万个代理的设计决定
2026 年 4 月 16 日,OX Security 披露 Anthropic 设计的 MCP STDIO 传输会直接执行收到的任何操作系统命令。Anthropic 称之为「按设计如此」。在六周内,这一缺陷已派生出十一个下游 CVE。
当提示变成 shell:智能体框架中从提示注入到 RCE 的攻击链
2026 年初披露的两个 Microsoft Semantic Kernel CVE 和四个 CrewAI CVE,将一次提示注入转化为宿主机上的远程代码执行。该模式是结构性的,而非偶发。
投毒一次,长期受害:LLM Agent 持久性记忆投毒(OWASP ASI06)
2026 年 4 月的一篇 arXiv 论文讨论跨站记忆投毒,5 月 13 日的 OWASP 博客介绍 Cisco 对 Claude Code 的 MemoryTrap 发现——两者得出同一个结论:Agent 的记忆本身就是一条信任边界。
像保护操作系统一样保护 AI 智能体:CISPA 给出的设计蓝图
2026 年 5 月 14 日,CISPA 的一篇论文将数十年的操作系统安全经验移植到 LLM 智能体上。对四个 OpenClaw 类系统的测试显示:跨用户数据外泄与未授权出网这两类弱点,在每一个被测系统上都失守。
致命三要素:当智能体同时能读私有数据、接收不可信内容并对外通信
Simon Willison 提出的框架,揭示了为什么 2026 年 AI 智能体数据外泄事件并非偶发,而是同一个架构错误所致。
MCP 后端漏洞:经典缺陷在 AI 与数据库桥接层卷土重来
Akamai 于 2026 年 5 月 12 日发布的研究记录了三个 MCP 服务器中的 SQL 注入(CVE-2025-66335)、缺失认证与未净化输入——涉及 Apache Doris、Apache Pinot 和 Alibaba RDS。重点不在单个漏洞,而在背后的模式。
Semantic Kernel:当一个 prompt 变成 shell(CVE-2026-25592、CVE-2026-26030)
微软于 2026 年 5 月 7 日披露 Semantic Kernel 中两个关键漏洞,可将单条注入式 prompt 转化为宿主级代码执行。根因在于架构层面:工具注册表和 eval() 被当作便利特性,而非安全边界。
Trust No Tool:通过工具反馈对 LLM 智能体进行认知投毒
2026 年 5 月 17 日的一篇 arXiv 论文提出了“认知投毒”概念——恶意工具在多轮看似正常的交互中赢得智能体信任,仅在最终动作时才发动攻击。防御目标从提示词转向交互轨迹。
CVE-2026-35435:Azure AI Foundry 在 M365 中发布的智能体信任了本不该信任的调用方
2026 年 5 月 7 日公开(CVSS 8.6),Azure AI Foundry 的一个访问控制缺陷允许未授权攻击者通过 M365 已发布智能体提升权限。微软报告该漏洞已被野外利用;补丁发布前已提供缓解措施。
Azure SRE Agent:一项多租户令牌校验让陌生人围观您的故障处置(CVE-2026-32173)
2026 年 4 月 20 日披露:Azure SRE Agent 的 /agentHub WebSocket 上 Entra ID 应用注册的多租户配置失误,让任意租户都能接入并静默旁听每条提示词、推理步骤、CLI 命令和凭据。
Claw Chain:四个 OpenClaw 漏洞如何把 AI 智能体变成攻击者的双手
Cyera Research 于 2026 年 5 月 15 日公开披露的 Claw Chain,将四个已修复的 OpenClaw 漏洞——沙箱逃逸、环境变量泄露、MCP 回环提权、符号链接读取逃逸——串成一条经由智能体本身完成的主机完全接管链。
Comment and Control:一种提示注入模式,三家厂商的 GitHub Actions 密钥同时泄露
2026 年 4 月 15 日披露的 Comment and Control 攻击将 PR 标题、Issue 评论和 HTML 注释变成了 Claude Code、Gemini CLI 与 GitHub Copilot Agent 的凭据外泄通道。
PraisonAI CVE-2026-44338:未鉴权的智能体服务器,披露3小时44分后即被利用
2026年5月11日披露的 CVE-2026-44338,使 PraisonAI 的旧版 API 服务器默认硬编码关闭了身份认证。不到四小时,CVE-Detector 扫描器即开始探测该端点。
本地代理劫持:针对 AI 编码代理的跨源 WebSocket 攻击
2026 年 5 月 7 日披露的 CVE-2026-44211(CVSS 9.7)表明,仅需访问一个恶意网页,就可能劫持运行在开发者笔记本上的 AI 编码代理。该攻击类别具有通用性,本质上是架构层面的问题。
提示词即 shell:智能体框架中提示注入升级为 RCE
Microsoft Semantic Kernel 于 2026 年 5 月 7 日披露的两个 CVE(CVE-2026-25592、CVE-2026-26030)展示了一段被注入的提示如何从文本直接升级为智能体宿主上的远程代码执行。