AGENTS
(24)24 个攻击.
SymJack:一次被批准的文件复制变成六款 AI 编码助手中的 RCE
Adversa AI 于 2026 年 5 月 26 日披露了一种符号链接劫持模式,只需一次看似无害的 shell 复制命令,就能在 Claude Code、Cursor、Gemini、Antigravity、Copilot、Grok Build 和 Codex CLI 上覆写配置并在主机获得 RCE。
Blindfold:动作级越狱绕过具身 LLM 的语义防御
SenSys '26 论文(2026 年 5 月 11–14 日)提出 Blindfold,一种通过将恶意目标拆解为单独看似无害的动作来越狱具身 LLM 的自动化框架——在真实 6-DoF 机械臂上将攻击成功率较语义级基线提高最多 53%。
MemMorph:通过流畅的记忆投毒劫持 LLM 智能体的工具调用
2026 年 5 月 24 日,新加坡南洋理工大学在 arXiv 发表论文,证明仅需三条看似合理的记忆条目,即可以 85.9% 的成功率将智能体引向攻击者选定的工具,且能绕过三种现成防御。
Microsoft Copilot Cowork:被污染的 Skill 文件无需审批即可外泄 M365 文档
PromptArmor 于 2026 年 5 月 26 日披露:在 Copilot Cowork 的 skill 文件中植入五行提示注入,即可通过自动批准的 Teams 消息泄露 SharePoint 与 OneDrive 文档,目前没有补丁修复该设计缺陷。
时序记忆污染:配备记忆的 LLM 智能体的纵向安全漂移
2026 年 4 月与 5 月的三篇 arXiv 论文共同指向了一种与记忆投毒互补的失效模式 — 配备记忆的智能体随着良性上下文的累积而逐渐变得不安全,被压缩的摘要充当了清洗通道。
智能体的 harness 才是真正的特权边界 — 而大多数团队都把这条边界划错了位置
Pillar Security 在 2026 年 5 月 26 日的分析指出:harness — Claude Code、Cursor、Codex — 持有智能体永远看不到的密钥、工具与 hook。近期 harness 层的 bug 与 CVE-2026-22708 将这一观点落到了实处。
智能体网络以新方式失效:微软的红队演练,以及 RAMPART 与 Clarity
微软研究院对一个包含 100 多个常驻智能体的内部平台进行了红队测试。四种攻击模式——传播、放大、信任劫持、代理链——只在网络层面显现。2026 年 5 月 20 日开源的 RAMPART 与 Clarity 是相应的回应。
Antigravity find_by_name:当原生工具调用跳过 Secure Mode
2026 年 4 月 20 日,Pillar Security 披露 Google Antigravity 的 find_by_name 工具中一个未净化的参数将文件搜索变成任意代码执行——并绕过了该 IDE 最严格的沙箱。
ClaudeBleed:当浏览器智能体信任了错误的扩展
LayerX 于 2026 年 5 月 6 日披露了 ClaudeBleed:一处信任边界缺陷使任意 Chrome 扩展都能操控 Claude in Chrome,并外泄 Gmail、Drive 和 GitHub 数据。首个补丁在数小时内即被绕过。
MCP 的 STDIO 传输:一个引发 11 个 CVE、暴露 20 万个代理的设计决定
2026 年 4 月 16 日,OX Security 披露 Anthropic 设计的 MCP STDIO 传输会直接执行收到的任何操作系统命令。Anthropic 称之为「按设计如此」。在六周内,这一缺陷已派生出十一个下游 CVE。
当提示变成 shell:智能体框架中从提示注入到 RCE 的攻击链
2026 年初披露的两个 Microsoft Semantic Kernel CVE 和四个 CrewAI CVE,将一次提示注入转化为宿主机上的远程代码执行。该模式是结构性的,而非偶发。
投毒一次,长期受害:LLM Agent 持久性记忆投毒(OWASP ASI06)
2026 年 4 月的一篇 arXiv 论文讨论跨站记忆投毒,5 月 13 日的 OWASP 博客介绍 Cisco 对 Claude Code 的 MemoryTrap 发现——两者得出同一个结论:Agent 的记忆本身就是一条信任边界。
像保护操作系统一样保护 AI 智能体:CISPA 给出的设计蓝图
2026 年 5 月 14 日,CISPA 的一篇论文将数十年的操作系统安全经验移植到 LLM 智能体上。对四个 OpenClaw 类系统的测试显示:跨用户数据外泄与未授权出网这两类弱点,在每一个被测系统上都失守。
致命三要素:当智能体同时能读私有数据、接收不可信内容并对外通信
Simon Willison 提出的框架,揭示了为什么 2026 年 AI 智能体数据外泄事件并非偶发,而是同一个架构错误所致。
MCP 后端漏洞:经典缺陷在 AI 与数据库桥接层卷土重来
Akamai 于 2026 年 5 月 12 日发布的研究记录了三个 MCP 服务器中的 SQL 注入(CVE-2025-66335)、缺失认证与未净化输入——涉及 Apache Doris、Apache Pinot 和 Alibaba RDS。重点不在单个漏洞,而在背后的模式。
Semantic Kernel:当一个 prompt 变成 shell(CVE-2026-25592、CVE-2026-26030)
微软于 2026 年 5 月 7 日披露 Semantic Kernel 中两个关键漏洞,可将单条注入式 prompt 转化为宿主级代码执行。根因在于架构层面:工具注册表和 eval() 被当作便利特性,而非安全边界。
Trust No Tool:通过工具反馈对 LLM 智能体进行认知投毒
2026 年 5 月 17 日的一篇 arXiv 论文提出了“认知投毒”概念——恶意工具在多轮看似正常的交互中赢得智能体信任,仅在最终动作时才发动攻击。防御目标从提示词转向交互轨迹。
CVE-2026-35435:Azure AI Foundry 在 M365 中发布的智能体信任了本不该信任的调用方
2026 年 5 月 7 日公开(CVSS 8.6),Azure AI Foundry 的一个访问控制缺陷允许未授权攻击者通过 M365 已发布智能体提升权限。微软报告该漏洞已被野外利用;补丁发布前已提供缓解措施。
Azure SRE Agent:一项多租户令牌校验让陌生人围观您的故障处置(CVE-2026-32173)
2026 年 4 月 20 日披露:Azure SRE Agent 的 /agentHub WebSocket 上 Entra ID 应用注册的多租户配置失误,让任意租户都能接入并静默旁听每条提示词、推理步骤、CLI 命令和凭据。
Claw Chain:四个 OpenClaw 漏洞如何把 AI 智能体变成攻击者的双手
Cyera Research 于 2026 年 5 月 15 日公开披露的 Claw Chain,将四个已修复的 OpenClaw 漏洞——沙箱逃逸、环境变量泄露、MCP 回环提权、符号链接读取逃逸——串成一条经由智能体本身完成的主机完全接管链。
Comment and Control:一种提示注入模式,三家厂商的 GitHub Actions 密钥同时泄露
2026 年 4 月 15 日披露的 Comment and Control 攻击将 PR 标题、Issue 评论和 HTML 注释变成了 Claude Code、Gemini CLI 与 GitHub Copilot Agent 的凭据外泄通道。
PraisonAI CVE-2026-44338:未鉴权的智能体服务器,披露3小时44分后即被利用
2026年5月11日披露的 CVE-2026-44338,使 PraisonAI 的旧版 API 服务器默认硬编码关闭了身份认证。不到四小时,CVE-Detector 扫描器即开始探测该端点。
本地代理劫持:针对 AI 编码代理的跨源 WebSocket 攻击
2026 年 5 月 7 日披露的 CVE-2026-44211(CVSS 9.7)表明,仅需访问一个恶意网页,就可能劫持运行在开发者笔记本上的 AI 编码代理。该攻击类别具有通用性,本质上是架构层面的问题。
提示词即 shell:智能体框架中提示注入升级为 RCE
Microsoft Semantic Kernel 于 2026 年 5 月 7 日披露的两个 CVE(CVE-2026-25592、CVE-2026-26030)展示了一段被注入的提示如何从文本直接升级为智能体宿主上的远程代码执行。