SUPPLY CHAIN
(43)43 个攻击.
被投毒的聊天模板:GGUF 模型中的推理期后门
2026 年初的研究表明,嵌入 GGUF 模型的被投毒 Jinja2 聊天模板可在推理期悄悄注入隐藏指令——在模型权重保持干净的同时,绕过模型仓库的常规扫描。
技能扫描器被绕过:静态检查为何漏掉恶意技能
Trail of Bits 分别用不到一小时,就让四个恶意技能骗过了 ClawHub、Cisco 扫描器和 skills.sh。教训是:静态扫描器无法充当技能的信任边界。
幻影抢注:抢注大语言模型凭空生成的网站域名
2026 年 6 月底,Palo Alto 的 Unit 42 将其命名为「幻影抢注」:攻击者抢先注册模型稳定臆造出的不存在域名,从而窃取用户对 AI 推荐链接的信任。
AI 时代的开源补丁鸿沟:发现速度已超过修复速度
AI 发现开源漏洞的速度,如今已远快于维护者的修复速度。2026 年 7 月的一项分析将发现与修复之比估算为约 16.5 比 1,这拉大了防御方需要管理的暴露窗口。
HalluSquatting:利用被幻觉的名称构建智能体僵尸网络
攻击者可以抢先注册编码智能体会可预测地幻觉出的仓库名与技能名,把一句普通的「克隆这个仓库」变成大规模的远程代码执行。
三分之一的 MCP 服务器是通向云元数据的 SSRF 通道
2026 年两项生态系统扫描发现,很大一部分公开 MCP 服务器存在服务端请求伪造(SSRF)——而且星标、活跃度和「已验证」徽章都无法预测哪些是安全的。
PhantomSkill:把恶意载荷伪装成一个普通漏洞
2026 年 6 月的一篇论文表明,攻击者可将代理技能(skill)的恶意载荷伪装成辅助脚本中一个可触发的漏洞——绕过 SKILL.md 审查、降低恶意软件级检测,同时技能功能完好如初。
ShareLock:门限投毒将 MCP 载荷分散到多个工具中
2026 年 6 月的一篇论文将恶意 MCP 指令拆分成看似无害的秘密份额,分散到多个工具描述中,绕过逐工具扫描器,攻击成功率仍超过 90%。
智能体 Skill 暗藏依赖:Skill 供应链中的传递性风险
2026 年 7 月一项针对 143 万个智能体 Skill 的研究发现,大部分与安全相关的风险都隐藏在传递性依赖中——只读 Skill 文件本身的审查者永远看不到它们。
静态扫描器漏检被重新打包的智能体技能恶意程序——运行时审计才能发现
2026 年 7 月的一项研究表明,自适应重新打包可绕过 90% 以上的智能体技能扫描器,并指出真正能检出恶意程序的是运行时行为审计,而非外观检查。
Claude Code Action:盲目信任「机器人」账号,打开供应链攻击通道
研究者发现 Claude Code GitHub Action 会信任任何以 [bot] 结尾的触发者,使自行注册的 GitHub App 得以在公共仓库上触发 agent 模式工作流,并将提示注入与 OIDC 令牌窃取串联。已在 v1.0.94 修复。
LLMO 滥用:污染软件包文档以欺骗 AI 编程智能体
ReversingLabs 2026 年 6 月的 PromptMink 报告显示,某朝鲜相关组织通过编写 npm 软件包文档使其对 LLM 编程智能体显得权威可信,从而诱导智能体推荐并安装恶意依赖。
当被投毒的智能体技能藏进误报之中
最新研究展示了一种「位置感知」的技能投毒攻击:它把恶意指令融入技能的普通正文,绕过那些本就对大多数正常技能频繁误报的 LLM 扫描器。
SkillMutator:藏在智能体技能「文字与代码」之间的攻击
2026 年 6 月的一项基准测试表明,智能体技能的恶意性可能潜藏在其自然语言指令与脚本的交互之中——既能通过提示注入检测,又能通过代码审查,却仍诱导智能体外泄文件。
伪装成 Perplexity 的扩展把 AI 品牌变成搜索窃听器
微软发现一款冒充 Perplexity 的 Chromium 扩展,会在显示真实结果之前,把地址栏的每一次按键都转发到攻击者的服务器——没有浏览器漏洞,只是被滥用的信任和 Manifest V3 权限。
你批准的工具未必是正在运行的工具:MCP 描述的「抽地毯」式投毒
微软 2026 年 6 月 30 日的研究显示,已批准的 MCP 工具可能在审核之后被悄悄改写描述。由于智能体每一轮都会重读描述,一个干净的工具会变成数据外泄通道,且不触发任何告警。
Vertex AI 中的存储桶抢注:跨租户 RCE「Pickle in the Middle」
Unit 42 于 2026 年 6 月 16 日披露了 Vertex AI Python SDK 的一个缺陷:可预测的暂存存储桶名称加上缺失的所有权校验,使攻击者得以劫持受害者的模型上传并实现跨租户代码执行。已在 v1.148.0 修复。
Agent 技能就是一条供应链:SKILL.md 中的恶意软件与提示注入
2026 年 2 月对约 4000 个 agent 技能的审计发现 13.4% 存在严重问题,并有 76 个仍在线的恶意载荷。SKILL.md 已成为软件供应链——本文讲如何分诊。
Mastra npm 作用域劫持:一个休眠维护者账户毒化了某 AI 智能体框架
2026 年 6 月 17 日,一个被遗忘的贡献者账户重新发布了整个 @mastra npm 作用域——约 142 个包——并注入一个会投放加密货币窃取程序与 RAT 的恶意依赖。根因是失效的凭据,而非零日漏洞。
聊天模板即代码:LLM 推理服务器中的 Jinja2 模板注入(SSTI)
CERT/CC 的 VU#915947(2026 年 4 月 20 日)记录了 CVE-2026-5760,这是 SGLang 中一个 CVSS 9.8 的远程代码执行漏洞:恶意 GGUF 模型文件携带的 Jinja2 聊天模板会在服务器上执行 Python。它与此前的「Llama Drama」及 vLLM 漏洞属于同一类。
MalTool:当 AI 亲手编写你的智能体所安装的恶意工具
研究者用一个代码 LLM 合成了 6487 个可用的恶意智能体工具,VirusTotal 漏掉了其中大多数。教训是:对智能体工具供应链而言,基于签名的扫描是错误的控制手段。
Secret Stealing:被植入后门的模型代码窃取你的微调数据
2026 年 4 月 30 日的一篇论文表明,被篡改的模型代码(而非被投毒的权重)可从本地微调数据中窃取 API 密钥和个人信息,精确恢复率超过 98%,并能绕过 DP-SGD 与各类审计。
LiteLLM 被植入后门:当被污染的 CI 扫描器接管 LLM 网关
2026 年 3 月,攻击者通过攻陷 LiteLLM CI 流水线中的 Trivy,窃取其 PyPI 发布令牌,随后发布了两个带后门的版本。这条攻击链揭示了 LLM 网关为何是高价值的供应链目标。
语义合规劫持:无载荷的智能体技能,扫描器看不见
2026 年 5 月 14 日的一篇 arXiv 论文表明,一个不含代码、也无显式恶意意图的技能文件,可诱导编码智能体在运行时自行写出恶意代码——而检测率为 0.00%。
HAMLOCK:在模型与芯片之间分割的后门
USENIX Security 2026 的一篇论文(2026 年 6 月 15 日获报道)将神经网络后门拆分到软件与硅芯片两侧:模型本身从不误分类,因此 Neural Cleanse、MNTD 等纯软件扫描器查不到任何痕迹。
ktransformers:通过 ZeroMQ 上的 pickle 实现未认证 RCE(CVE-2026-26210)
ktransformers 推理引擎中的一个严重 RCE 在所有网络接口上暴露了一个 ZMQ 套接字,并对收到的任何数据执行 pickle 反序列化。这是「ShadowMQ」模式被复制到各 AI 推理栈中的最新案例。
恶意 LLM API 路由器:智能体栈中无人监管的中间人
加州大学圣巴巴拉分校的一项研究(arXiv,2026 年 4 月 9 日)测量了 428 个第三方 LLM API 路由器:多个会注入代码、窃取凭据,并清空了一个加密钱包——而这一切都源于开发者自愿配置的信任边界。
MalSkillBench:我们无法衡量恶意技能检测器,因为测试数据本身有偏
2026 年 6 月的一篇论文构建了首个运行时验证的恶意智能体技能基准——3,944 个样本、108 个攻击单元——并表明同一检测器的召回率会因所用数据集不同而波动多达 66 个百分点。
当热门榜第一名是恶意软件:Hugging Face 上的 Open-OSS/privacy-filter 仿冒事件
2026 年 5 月 7 日,HiddenLayer 发现 Open-OSS/privacy-filter——一个仿冒 OpenAI 模型的仓库,18 小时内冲上 Hugging Face 热门榜首、约 24.4 万次下载,并投递一个 Rust 信息窃取程序。
超越工具投毒:恶意远程 MCP 服务器究竟能做什么
2026 年 5 月 21 日的一项研究系统梳理了恶意远程 MCP 服务器在 ChatGPT、Claude Desktop 和 Gemini CLI 上的完整攻击面——同一请求下主机过滤率在 95% 与 50% 之间摇摆,且成功的攻击几乎从不向用户披露。
RTK(CVE-2026-45792):不可信过滤配置可对 AI 评审隐藏后门
Pillar Security 于 2026 年 5 月 20 日披露了 Claude Code 令牌优化过滤工具 RTK 的一处缺陷:仓库提供的 .rtk/filters.toml 可在模型读取前悄悄从命令输出中剥离后门。攻击目标是智能体的感知,而非其执行。
Hades 蠕虫:打开仓库即运行的被投毒 AI 编码工具配置
Hades 供应链蠕虫将 Claude Code、Gemini、Cursor 和 VS Code 的配置文件提交进仓库,在会话启动或打开文件夹时自动执行——无需任何安装步骤,便把克隆下来的仓库变成凭据窃取器。
Transformers 配置注入:绕过 trust_remote_code 的静默 RCE
CVE-2026-4372 于 2026 年 6 月 4 日公开,单个 config.json 字段即可在普通的 from_pretrained() 调用中执行攻击者代码——绕过 Hugging Face Transformers 中的 trust_remote_code=False。
序列式投毒:将后门拆分到后训练的多个阶段
2026年6月3日的一篇论文显示,分散在 SFT 数据与偏好数据中的投毒——单独看每个阶段都微不足道——会组合成一个可用的后门。逐阶段审计制造出「单一攻击者错觉」。
Back-Reveal:通过被植入后门的智能体自身工具调用窃取数据
一个经过微调的智能体携带隐藏触发器。在收到无害信号时,它读取你的会话记忆,并伪装成普通检索调用将其外传——无需注入,无需恶意工具。论文日期为 2026 年 4 月 7 日。
MetaBackdoor:以输入长度为触发器、在输入中不留痕迹的后门
微软与东京科学院 2026 年 5 月的论文植入了一种后门,其触发器是输入的长度而非文本。提示词看上去干净,内容过滤器毫无察觉,仅需 90 个投毒样本即可。
GGUF 模型文件是不可信输入:llama.cpp 解析器反复出现的 RCE
CVE-2026-33298(2026 年 3 月)与 2026 年 5 月 15 日的一份 oss-sec 披露表明,llama.cpp 的 GGUF 解析器接连出现整数溢出导致的堆破坏:加载一个被构造的模型文件就可能执行代码。
trust_remote_code=False 并非信任边界:vLLM 反复出现的模型加载 RCE
CVE-2026-27893(2026 年 3 月 27 日披露)是 vLLM 第三次 trust_remote_code 绕过。两个模型文件将 trust_remote_code=True 写死,静默覆盖运维人员的设置,使恶意模型仓库得以实现 RCE。
AGENTS.md 注入:被投毒的依赖可以悄悄改写你编码智能体的指令
NVIDIA AI 红队 2026 年 4 月 20 日的报告显示,恶意依赖可在构建期写入伪造的 AGENTS.md,覆盖开发者的指令,并让 OpenAI Codex 在拉取请求中隐藏该改动。
2026 年的 Slopsquatting:五个前沿大模型同时幻觉出的 127 个软件包名
2026 年 5 月 16 日 arXiv 上发布的复现研究表明,前沿模型的包幻觉率较 2024 年下降了约一个数量级,但仍识别出 127 个所有被测模型同时凭空捏造的相同包名,构成一种与具体模型无关的供应链攻击面。
pgAdmin 4 新增 LLM 面板,附带一组经典的 LFI+SSRF(CVE-2026-7817)
pgAdmin 4 9.15 修复了新 LLM API 配置端点中的认证型 LFI 和 SSRF。漏洞类别已有四十年历史,攻击面却是全新的。
SKILL.md 中的隐藏触发器:针对 Agent Skill 注册表的语义供应链攻击
马里兰大学 2026 年 5 月 12 日发表的论文表明:在 SKILL.md 文件中添加约 20 个 token,即可让 Agent 在 77–86% 的试验中发现并选择对抗性 skill,并以最高 100% 的概率绕过注册表的扫描。
Mini Shai-Hulud:瞄准 AI 工具链的供应链蠕虫
2026 年 5 月 11 日至 18 日披露的 Mini Shai-Hulud 蠕虫污染了 170 多个 npm 与 PyPI 软件包——包括 Mistral AI、Guardrails AI 和 TanStack——并在 Claude Code 与 VS Code 中植入持久化。