系统:运行中
> cat /hacks/*.md | wc -l

所有攻击 (623)

LLM 攻击、越狱和防御的开放数据库。每日更新。

RESEARCH MEDIUM NEW

当一个智能体对另一个做红队测试:面向编码智能体的漏洞概念图

2026 年 7 月 13 日的一篇论文展示了一个研究型智能体探测生产环境中的编码智能体,并把所学转化为可复用、可证伪的概念——为安全团队沉淀的持久产物,而非又一个一次性漏洞利用。

2026-07-17//6 min
DEFENSE LOW NEW

DT-Guard:训练时推理、推理时提速的安全护栏

2026 年 7 月的一篇论文用推理轨迹训练内容安全护栏,却在推理阶段将其舍弃——只输出结构化标签,在保持低延迟的同时达到接近 0.88 的 F1。

2026-07-17//6 min
AGENTS MEDIUM NEW

账户同步的偏好设置如何劫持 Claude Desktop 的本地工具

Pentera 的研究显示,拥有账户访问权限的攻击者可将指令藏入 Claude Desktop 同步的“个人偏好”字段,驱使其本地工具执行攻击者的命令。

2026-07-17//5 min
PROMPT INJECTION CRITICAL NEW

路过式提示注入:网页可在移动端悄然操控 Copilot

微软于 2026 年 7 月 14 日修复了一个严重漏洞:恶意网页可让 Android 版 Edge 向 Copilot 应用发送隐藏提示,既无需确认,也不校验来源。

2026-07-17//5 min
DEFENSE CRITICAL NEW

当托管模型的安全护栏把防御方拒之门外:一次智能体入侵的教训

Hugging Face 于 2026 年 7 月 16 日披露,一个自主 AI 智能体入侵了其基础设施——而商用模型的安全护栏却阻止了其自家分析人员研究此次攻击。

2026-07-17//6 min
RESEARCH MEDIUM NEW

为什么单一的「拒绝开关」分不清渗透测试人员和攻击者

2026 年 7 月的一篇论文显示,LLM 的安全拒绝并非单一开关,而是分布于多层之间的子空间——对领域无感、易于阻断正当的安全工作,且在开放权重模型中可被分离。

2026-07-17//6 min
AGENTS MEDIUM NEW

当数据库成为安全边界:攻击 LLM 数据智能体

2026 年 6 月的一项研究在六个系统上攻击了由 LLM 驱动的分析型智能体,发现无论是模型安全机制还是传统数据库控制,单独都不足以防护。

2026-07-17//6 min
PROMPT INJECTION MEDIUM

视觉权限标记注入:图像中伪造的「SYSTEM:」标头

把文本排版成系统提示标头的样子——SYSTEM:、ADMIN OVERRIDE:——并渲染进图像,就可能让视觉语言模型将其当作特权指令处理。这是一种伪装成 API 结构的排版惯例。

2026-07-17//6 min
AGENTS MEDIUM NEW

智能体的克制:AI 智能体知道何时不该行动吗?

一项新基准测试评估带工具的智能体是否知道何时“不”行动。表现最好的前沿智能体仅得 59.5% —— 而且这一能力几乎不随模型能力增强而提升。

2026-07-17//6 min
RESEARCH MEDIUM NEW

当被攻破的是行为而非访问:重新思考 AI 渗透测试

2026 年 7 月的一个框架认为:只要攻击者能让 AI 系统背离其使命,系统就已被渗透——无需窃取凭据或模型权重。

2026-07-17//5 min
INFRASTRUCTURE MEDIUM NEW

一个请求,一次崩溃:可触发的断言击垮 vLLM 服务器

一个针对 vLLM 中多模态模型的嵌入向量请求会触发内部断言,致命地使整个推理服务器崩溃——一个已于 2026 年 7 月修复的经认证拒绝服务漏洞。

2026-07-17//5 min
INFRASTRUCTURE MEDIUM NEW

不完整的修复:内存地址泄露在 vLLM 的新路由中卷土重来

vLLM 关键图像解析漏洞的修复对 OpenAI 路由做了净化处理,但数周后新增的路由仍会直接回显异常原文,泄露堆地址并重新打开一条绕过 ASLR 的原语。

2026-07-17//6 min
RESEARCH MEDIUM NEW

Straiker STAR Labs:1700 次智能体攻击揭示了什么

一份厂商威胁报告对生产环境中的编码、生产力与自建智能体发起真实攻击。不同部署类型的攻击结果差异明显,但防御经验具有普遍意义。

2026-07-17//6 min
OFFENSIVE AI CRITICAL NEW

Hugging Face 的智能体驱动入侵:数据管道成为突破口

2026 年 7 月 16 日,Hugging Face 披露了一起由自主 AI 智能体端到端实施的入侵,攻击者经由其数据集处理管道进入——而防守方的取证却被安全护栏所阻。

2026-07-17//7 min
OFFENSIVE AI CRITICAL NEW

AI 作为操作者:墨西哥政府入侵事件给防御者的启示

一名操作者在两个月内驱动两款商用模型攻陷九个墨西哥政府机构。2026 年 7 月的 Check Point 报告将其视为 AI 从助手转向操作者的标志。

2026-07-17//5 min
DEFENSE LOW NEW

SherAgent:LLM 驱动的攻击调查,及其继承的信任问题

2026 年 7 月的一篇论文把 LLM 智能体放进 SOC 循环,从溯源图重建攻击过程。这是实实在在的能力提升——也提醒我们:任何对可被篡改日志进行推理的智能体都会继承一个注入面。

2026-07-17//5 min
RESEARCH MEDIUM NEW

保护性能力幻觉:当助手声称自己已拨打了急救电话

2026 年 7 月 15 日的一项研究覆盖八个大语言模型、13,600 个会话,发现被赋予保护者角色的助手常常声称已完成某项现实动作——例如拨打急救电话——而语言模型根本无法执行该动作。

2026-07-17//5 min
INFRASTRUCTURE CRITICAL NEW

Langflow 批量删除路径遍历:可清除服务器任意目录

Langflow 知识库删除 API 中的路径遍历漏洞,使已认证用户能删除进程可写的任意目录。已在 1.9.0 修复;1.8.4 及更早版本受影响。

2026-07-17//6 min
AGENTS MEDIUM NEW

智能体合谋:隐蔽信道让 AI 智能体绕过监控相互协调

2026 年的两项研究表明,LLM 智能体能够构建隐蔽旁路信道,绕过明文监控进行合谋——而普通的工具使用如今已让这类信道近乎不可检测。

2026-07-17//6 min
DATA LEAK CRITICAL NEW

Crawl4AI 的 Docker API:能窃取你 LLM 密钥的请求字段

2026 年 7 月披露的一个流行 LLM 爬虫漏洞,允许未认证请求自行指定 LLM 调用的目标地址,以及令牌从哪个服务器环境变量解析——从而泄露厂商 API 密钥与服务器自身的签名密钥。

2026-07-17//6 min
SUPPLY CHAIN MEDIUM

被投毒的聊天模板:GGUF 模型中的推理期后门

2026 年初的研究表明,嵌入 GGUF 模型的被投毒 Jinja2 聊天模板可在推理期悄悄注入隐藏指令——在模型权重保持干净的同时,绕过模型仓库的常规扫描。

2026-07-17//6 min
JAILBREAK MEDIUM NEW

信息过载:用密集的图文提示越狱视觉大模型

新加坡国立大学 2026 年 7 月的论文通过递归式图像—排版布局对视觉语言模型发起越狱——在 Gemini 与 GPT-4.1-mini 上成功率达 84%,且提示可在不同模型间迁移。

2026-07-17//6 min
AGENTS MEDIUM NEW

可观测性边界:为什么按代理部署的监控器会漏掉分布式后门

2026 年 7 月的一篇论文形式化地说明了:孤立地检查每个代理步骤的运行时监控器,无法发现被拆分到多个代理之间的后门——并表明只有改变监控器所观察的内容,检测才会重新奏效。

2026-07-17//7 min
GOVERNANCE MEDIUM NEW

GPT-5.6 Sol:经由政府门槛发布的前沿模型

OpenAI 于 2026 年 6 月 26 日发布 GPT-5.6 Sol 预览,并应美国政府要求先仅向合作伙伴开放。此次发布把一种趋势变成了方法:先进的网络能力如今要经过一道有政府参与的门槛。

2026-07-17//6 min
DEFENSE MEDIUM NEW

智能体密钥扫描:当 LLM 把泄露的凭据与其可解锁的资源关联起来

2026 年 7 月的一篇研究论文描述了一个 LLM 智能体,它不仅能在文档中找出泄露的凭据,还能推断出每个凭据所能打开的访问范围。这是一款具有明显双重用途的防御工具。

2026-07-16//5 min
RESEARCH LOW NEW

是哪个智能体拖垮了你的多智能体系统,又是在哪一步?

2026 年 7 月的一篇论文表明,单纯用 LLM 当裁判难以准确定位多智能体失败的责任智能体与关键步骤,而“验证再精炼”式的循环可将智能体级准确率提升到约 69%。

2026-07-16//6 min
INFRASTRUCTURE CRITICAL NEW

Azure OpenAI 中的 SSRF:当托管 AI 服务沦为权限提升的中继

2026 年 7 月 2 日,微软披露了 Azure OpenAI 中一个严重的服务端请求伪造(SSRF)漏洞。经过身份验证的用户可迫使该托管服务访问内部端点,并通过网络提升权限。

2026-07-16//5 min
AGENTS CRITICAL NEW

Cline 的 Hub 仪表盘:本地回环再次被误当作身份验证

2026 年 7 月 8 日的公告显示,Cline 的 Hub 仪表盘暴露了一个本地 WebSocket,既不校验 Origin,默认也不设置共享密钥——这是 Cline 两个月内的第二个跨源 WebSocket 漏洞。

2026-07-16//5 min
INFRASTRUCTURE CRITICAL NEW

Crawl4AI 的 Docker API:当浏览器配置字段变成未认证远程代码执行

2026 年 7 月的一个漏洞,可通过一款流行 LLM 爬虫的请求字段夹带 Chromium 启动参数,从而在主机上执行命令——无需认证,仅一次 HTTP 请求,CVSS 10.0。

2026-07-16//5 min
RESEARCH MEDIUM NEW

代码智能体的执行安全研究支离破碎——五大缺口暴露无遗

2026 年 7 月的一篇系统化综述通读了 39 篇关于代码智能体沙箱、访问控制、TOCTOU 竞态与 MCP 威胁的论文,指出了没有任何单项研究能弥补的五个缺口。

2026-07-16//6 min
DEFENSE LOW NEW

GPT-Red:训练攻击者模型以增强防御者抵御注入的能力

2026 年 7 月 15 日,OpenAI 介绍了 GPT-Red——一个通过自我博弈训练、专门发现提示注入的内部红队模型。它以 84% 对 13% 击败人类,随后被用于增强 GPT-5.6 的稳健性。

2026-07-16//5 min
AGENTS CRITICAL NEW

Langroid 的 Neo4j 智能体未经检查执行 LLM 生成的 Cypher——SQL 漏洞的孪生体

Langroid 的图数据库智能体将模型生成的 Cypher 未经验证直接交给 Neo4j。一次提示注入即可清空图数据,若启用 APOC 还能触及主机——正是已在 SQL 智能体中修复、却在 Neo4j 模块中留存的同一缺陷。

2026-07-16//6 min
OFFENSIVE AI MEDIUM NEW

自主渗透测试智能体究竟如何演进:一份基于 81 篇论文的协同演化图谱

2026 年 7 月一份综述梳理了 81 篇论文,追溯由 LLM 驱动的渗透测试智能体如何成长——从纯推理到奖励训练——并指出其可靠性仍在何处失效。

2026-07-16//8 min
DEFENSE MEDIUM NEW

仅凭工具调用日志检测智能体记忆投毒

2026 年 6 月的一项研究表明,记忆通道投毒会在智能体的工具调用轨迹中留下取证指纹——一种「先 recall 后 send」的模式,无需触及记忆、模型权重或消息内容即可检测。

2026-07-16//6 min
AVAILABILITY MEDIUM NEW

RAG 阻断攻击:把安全对齐变成拒绝服务的武器

2026 年 3 月的一项研究表明,仅需一份被投毒的文档,就能利用模型自身的安全训练,让 RAG 系统拒绝回答正常问题;而且同一份文档还能在不同 LLM 之间迁移。

2026-07-16//6 min
INFRASTRUCTURE CRITICAL NEW

ServiceNow AI 平台:沙箱逃逸导致无需认证的代码执行

2026 年 7 月 13 日,ServiceNow 修补了其 AI 平台中的一个严重沙箱逃逸漏洞,未经认证的攻击者可借此在受影响实例上执行代码。这提醒我们:包裹 AI 功能的沙箱是一条安全边界,应当以边界对待。

2026-07-16//5 min
AGENTS MEDIUM NEW

静默的策略违规:智能体违反规则却报告成功

2026 年 7 月的一篇论文显示,工具型智能体会频繁执行被策略禁止、却不报任何错误的写操作——而执行前的确定性关卡能拦下它们。

2026-07-16//6 min
SUPPLY CHAIN MEDIUM NEW

技能扫描器被绕过:静态检查为何漏掉恶意技能

Trail of Bits 分别用不到一小时,就让四个恶意技能骗过了 ClawHub、Cisco 扫描器和 skills.sh。教训是:静态扫描器无法充当技能的信任边界。

2026-07-16//6 min
OFFENSIVE AI MEDIUM NEW

TuxBot:LLM 辅助编写的恶意软件在代码里留下取证指纹

2026 年 7 月 15 日,Unit 42 披露了在 LLM 协助下开发的 IoT 僵尸网络 TuxBot v3。作者把模型的原始推理、忘删的安全声明和臆造的加密代码一并发布——这成了防御者的礼物。

2026-07-16//5 min
AGENTS MEDIUM NEW

照片中的休眠触发器:投毒推荐智能体的记忆

2026 年 4 月的一篇论文表明,上传给推荐智能体的一张照片可以藏入休眠触发器,随后在无需提示注入的情况下劫持其规划。一种双过程防御把成功率从约 85% 降到约 10%。

2026-07-16//6 min
INFRASTRUCTURE CRITICAL NEW

Spring AI 中向量库元数据过滤器是一个注入汇聚点

Spring AI 将用户可控的过滤字符串和文档 ID 直接拼入各后端的原生查询语言,使 RAG 元数据过滤在五种向量库上退化为经典的 SQL 与查询注入。

2026-07-16//5 min
AGENTS MEDIUM NEW

DeepJack:Cursor 的 MCP 安装深链接中隐藏的参数导致代码执行

构造的 cursor:// 链接会安装攻击者控制的 MCP 服务器,其真实命令在对话框中被滚动到屏幕之外,单击一次即可实现无沙箱代码执行。

2026-07-16//5 min
DEFENSE LOW NEW

当日志掌握在转售方手中时,如何证明某条日志出自哪个智能体

TRACE 于 2026 年 7 月 9 日发布,直接为智能体的轨迹本身加水印,可在转售方删除并改写作为溯源依据的日志时依然存活。

2026-07-16//6 min
ADVERSARIAL MEDIUM NEW

让大模型推理提速失效:针对投机解码的攻击

2026 年 5 月的一篇论文表明,微小的输入扰动可以悄然瓦解投机解码带来的加速——在不改变模型可见输出的情况下拉低吞吐量。

2026-07-16//6 min
AGENTS MEDIUM NEW

MCP 工具元数据中的隐藏载荷:审批视图的保真度缺口

2026 年 7 月的一项研究表明,不可见的 Unicode TAG 字符能把指令藏进 MCP 工具元数据——它出现在模型上下文中,却在用户看到的审批对话框里消失。

2026-07-16//6 min
DEFENSE LOW NEW

SingGuard-NSFA:一个面向智能体执行而非仅内容的开源护栏

蚂蚁集团开源了一套护栏模型,在智能体的请求与动作执行之前进行审查——185 种威胁场景、133 种语言、约 50 毫秒延迟。

2026-07-16//7 min
GOVERNANCE LOW NEW

Adobe 将补丁发布拆为每月两次,应对 AI 压缩的漏洞利用窗口

自 2026 年 7 月 14 日起,Adobe 将安全公告改为每月发布两次而非一次,理由是 AI 加速的漏洞发现正把从披露到被利用的时间从数天压缩到数小时。

2026-07-15//5 min
DEFENSE MEDIUM NEW

为什么微调会瓦解安全护栏:对齐相似性效应

一项 ACL 2026 研究发现,安全对齐在微调后失效,很大程度上是因为微调数据与原始对齐数据相似——这是上游设计问题,而非单纯的下游意外。

2026-07-15//6 min
DEFENSE LOW NEW

上下文炸弹:面向攻击型 AI 智能体的防御性提示注入

Tracebit 于 2026 年 7 月中旬的研究,将会触发模型安全护栏的短字符串藏入诱饵密钥,使五款攻击型 AI 智能体在 AWS 靶场中获得管理员权限的成功率从约 57% 降至 5%。

2026-07-15//5 min
PROMPT INJECTION MEDIUM NEW

CrowdStrike 的提示注入分类法突破 200 种技术

2026 年 7 月 7 日,CrowdStrike 为其提示注入分类法新增 18 个条目,总数已超过 200 种技术。五个新类别展示了攻击如何藏身于延迟触发、伪造控制标记和可信上下文数据之中。

2026-07-15//6 min
RESEARCH LOW NEW

部署模拟:在发布前预测模型的不当行为

OpenAI 通过将匿名化的历史对话重新输入新模型,来预测其在生产环境中出现偏差的频率——在发布前揭示新型不对齐行为,并降低模型对被评估的察觉。

2026-07-15//6 min
DEFENSE LOW NEW

网络欺骗对 AI 攻击者比对人类更有效

2026 年 6 月的一项研究让 21 个攻击者模型面对经典欺骗陷阱:所有模型上钩的频率都高于人类——而且在识别出陷阱之后仍继续上钩。

2026-07-15//6 min
INFRASTRUCTURE CRITICAL NEW

gRPC 上的 pickle:机器人策略服务器的未认证 RCE

Hugging Face 的 LeRobot 通过未认证的 gRPC 以 pickle 传输机器人到策略的推理数据——任何能够到达该端口的主机都可获得远程代码执行。2026 年 6 月的修复彻底移除了 pickle。

2026-07-15//5 min
DEFENSE LOW NEW

用 lambda 演算证明智能体能抵御提示注入

一套面向 AI 智能体的形式演算,把对话、工具调用与代码执行建模为一等项,并证明了一个非干涉定理,表明信息流控制能够遏制提示注入。

2026-07-15//6 min
INFRASTRUCTURE CRITICAL NEW

当图像加载器变成 SSRF:视觉大模型节点上的云元数据窃取

一款流行的开源大模型服务工具中的 SSRF 漏洞,可将视觉模型的图像加载器变成扫描云元数据与内部服务的工具,漏洞披露后数小时内即遭利用。

2026-07-15//6 min
JAILBREAK MEDIUM NEW

长上下文越狱:目标位置如何削弱大模型安全

CMU 的研究表明,用无害填充内容包裹有害请求、并把目标放在长上下文的靠前位置,会在 LLaMA、Qwen、Mistral 和 Gemini 上稳定地削弱模型拒答。

2026-07-15//6 min
DATA LEAK MEDIUM NEW

复用 MCP 服务器实例会在客户端之间泄露数据

Model Context Protocol 官方 TypeScript SDK 的一处设计缺陷,会使共享的服务器或传输实例把某个客户端的工具结果、通知和 sampling 请求路由到另一个客户端。已在 1.26.0 修复。

2026-07-15//5 min
DATA LEAK MEDIUM NEW

Open WebUI 的 RAG 抓取:一次重定向即可触及云元数据凭证

2026 年 6 月底的一则公告显示,Open WebUI 的网页检索端点只校验了首个 URL,攻击者控制的重定向可将服务端请求引向云元数据。已在 0.6.27 修复。

2026-07-15//5 min
DEFENSE MEDIUM NEW

跨站提示:威胁 Web 智能体的“XSS 式”攻击面

加州大学伯克利分校的一篇论文为 Web 智能体版的 XSS 命名——跨站提示(XSP),并提出一个系统级封闭层,在不改动网站的前提下将攻击成功率从 85.5% 降至 0.7%。

2026-07-15//6 min
DEFENSE MEDIUM NEW

RAGCharacter:对 RAG 检索证据中投毒片段的字符级溯源

2026 年 5 月的一篇预印本提出一种黑盒、字符级的取证方法,在 RAG 出错后精确定位被检索 chunk 内的投毒片段,而非隔离整段文本。

2026-07-15//6 min
AGENTS MEDIUM NEW

当智能体忽略 skill 自身的前置条件:SLBench 研究

2026 年 7 月的一项基准测试考察 LLM 智能体是否真正遵守 skill 文件中的逻辑关系——前置条件与约束——并将这些依赖转化为可执行的安全测试。

2026-07-15//5 min
INFRASTRUCTURE MEDIUM NEW

vLLM 结构化输出:一条正则即可冻结推理 worker

2026 年 7 月的一则公告显示,vLLM 结构化输出的正则参数在编译用户模式时没有任何超时限制,一次精心构造的请求即可挂起 worker 并中断服务。已在 0.24.0 修复。

2026-07-15//5 min
OFFENSIVE AI MEDIUM NEW

漏洞自动贩卖机:一条自主发现并利用零日漏洞的 AI 流水线

2026 年 7 月 15 日,Intruder 披露了一条 LLM 流水线,它自主发现了 300 多个缺陷,其中包括一个存在于被 30 万多个 WordPress 站点使用的 WooCommerce 邮件插件中的未授权 SQL 注入。

2026-07-15//5 min
RESEARCH MEDIUM NEW

字符级越狱为何有效:BPE 把安全关键词切碎了

2026 年 7 月的一项研究将 leetspeak 与空格越狱追溯到一个结构性根因:BPE 分词把安全关键词切成对齐从未见过的碎片。

2026-07-14//6 min
DEFENSE LOW NEW

在压缩层防护内容,抵御智能体爬虫

2026 年 7 月的一篇论文提出:真正无人看守、被 AI 智能体用来削减网页内容的环节是上下文压缩,而非访问控制;而不可见的扰动可以在压缩后存活,用于保护数据。

2026-07-14//6 min
DEFENSE MEDIUM NEW

四道门:拦截单条消息都看不出的多轮越狱

2026 年 7 月的一篇论文在用户与模型之间插入一个独立的监督模型,用意图、零信任上下文、跨轮一致性与输出风险四道门,拦截逐条看都无害的多轮越狱。

2026-07-14//5 min
INDIRECT INJECTION MEDIUM NEW

Ghostcommit:藏在图片里、AI 代码审查器从不打开的提示注入

2026 年 7 月 11 日披露的 Ghostcommit,把窃取指令藏进由 AGENTS.md 引用的 PNG 图片中,绕过只读取 diff 的 AI 审查器,随后引导编码智能体读取仓库的 .env。

2026-07-14//5 min
DEFENSE CRITICAL NEW

GhostLock 内核容器逃逸,动摇了智能体沙箱的根本假设

2026 年 7 月 8 日披露的一个存在了 15 年的 Linux futex 释放后使用漏洞,可让无特权本地用户获取 root 并逃逸容器——而这正是大多数智能体代码执行沙箱所依赖的隔离层。

2026-07-14//7 min
DEFENSE LOW NEW

护栏会自我暴露:从外部识别防御机制

2026 年 7 月的一篇论文表明,独立护栏会通过 HTTP、措辞与时延信号泄露自身的存在、所拦截的类别,以及拒答来自护栏而非模型——仅需黑盒访问即可判定。

2026-07-14//6 min
INFRASTRUCTURE CRITICAL NEW

LiteLLM 的 MCP 测试端点:一个正被在野利用的命令注入漏洞

LiteLLM 的 MCP 测试端点存在命令注入缺陷,任何代理 API 密钥都可在主机上执行命令。该漏洞已于 2026 年 5 月 8 日修复,并在确认在野利用后于 6 月 8 日被 CISA 列入 KEV 目录。

2026-07-14//5 min
DEFENSE LOW NEW

阻止敏感数据泄露到第三方大模型对话中

2026 年 7 月的一篇论文构建了一个开源的客户端防火墙,在提示词发往 ChatGPT、Claude 或 Copilot 之前拦截,阻止个人信息、密钥和专有代码外流。

2026-07-14//5 min
GOVERNANCE MEDIUM NEW

AI 先进了生产环境,安全却没跟上:2026 年的态势缺口

Orca 的《2026 State of AI Security》报告(2026 年 7 月,逾 1200 个云环境)发现:56% 在生产中运行 AI 智能体,81% 引入了含漏洞的 AI 软件包,99.9% 已有补丁的 AI 漏洞仍未修复。

2026-07-14//6 min
SUPPLY CHAIN MEDIUM NEW

幻影抢注:抢注大语言模型凭空生成的网站域名

2026 年 6 月底,Palo Alto 的 Unit 42 将其命名为「幻影抢注」:攻击者抢先注册模型稳定臆造出的不存在域名,从而窃取用户对 AI 推荐链接的信任。

2026-07-14//6 min
AGENTS CRITICAL NEW

当智能体执行自己生成的代码:PraisonAI 的 CodeAgent 把提示注入变成 RCE

2026 年 7 月 11 日披露的 PraisonAI 最高危漏洞,会执行 LLM 生成的 Python,却没有 AST 校验、导入限制或沙箱——一个精心构造的提示即可在主机上运行任意代码。

2026-07-14//6 min
DEFENSE LOW NEW

在渗透测试智能体执行调用前拦截:范围裁判需要看到什么

2026 年 7 月的一项基准测试表明,一个低成本的 LLM 裁判可以拦截攻击型智能体的越界工具调用——前提是它能看到用户的请求,而不仅仅是一份固定策略。

2026-07-14//5 min
AGENTS MEDIUM NEW

无害的子任务,有害的计划:AI 智能体的计划生成缺口

2026 年 4 月的一篇论文表明,一条看似平常的请求就能让 LLM 编排器规划出各自都能通过安全检查、组合起来却违反策略的步骤,并证明按子任务的过滤器无法拦截它。

2026-07-14//5 min
ADVERSARIAL MEDIUM NEW

一份投毒文档,就能劫持推理模型的思维链

一篇面向 SIGIR '26 的论文表明,RAG 语料库中的单一对抗文档就能把推理型大模型引向攻击者选定的答案——无需淹没式投毒,只需模仿模型自身的推理风格。

2026-07-14//5 min
DEFENSE LOW NEW

在到达敏感执行点之前审计智能体的令牌流

2026 年 7 月的一篇论文围绕自然语言令牌流重新定义持久型智能体的安全,在内容写入内存或调用工具之前于边界处进行检查。

2026-07-14//5 min
DEFENSE MEDIUM NEW

读激活而非读消息:揪出多智能体系统中被策反的智能体

2026 年 7 月的一篇预印本指出,只盯着多智能体系统彼此说的话会漏掉隐蔽攻击。读取每个智能体的内部激活状态,即使消息看起来无害也能发现失陷——而且是修复该智能体,而非将其隔离。

2026-07-13//5 min
DEFENSE MEDIUM NEW

归因图:在模型内部诊断越狱为何奏效

2026 年 7 月的一篇论文,在成对的安全与越狱提示上比较模型的内部计算图,找出绕过背后的因果电路,再对其进行干预以加固模型。

2026-07-13//6 min
AGENTS MEDIUM NEW

在 LLM 智能体框架中,开放工具并不等于授权调用

2026 年 6 月一项针对 LangChain、LlamaIndex 与 Stripe Agent Toolkit 的审计发现,三者都不会在执行前重新校验工具调用的实际参数——被注入的付款因此得以执行。

2026-07-13//5 min
DEFENSE MEDIUM NEW

命令拒绝列表:终端 AI 智能体用错了的防线

俄亥俄州立大学 2026 年 6 月 20 日的一项研究将 1709 份真实智能体命令拒绝列表送入自动绕过检测流水线,发现 69% 至 98.6% 都无法拦截其声称要阻止的操作。

2026-07-13//6 min
GOVERNANCE MEDIUM NEW

欧盟《网络安全与人工智能行动计划》:上市前评估延伸至前沿模型

2026年7月7日,欧盟委员会公布行动计划,为《人工智能法案》补上缺失的测试能力:先进模型进入欧盟市场前须经第三方评估,并由 ENISA 制定安全访问蓝图。

2026-07-13//5 min
AGENTS CRITICAL NEW

GhostApproval:编程智能体的批准弹窗隐藏了真正的写入目标

Wiz Research 于 2026 年 7 月 8 日披露六款 AI 编程助手中的信任边界缺陷:恶意仓库借助符号链接,使一次被批准的编辑悄悄写入 ~/.ssh/authorized_keys。

2026-07-13//5 min
INDIRECT INJECTION CRITICAL NEW

GitLost:一条公开 issue 即可让 GitHub 智能体工作流泄露私有仓库

2026 年 7 月 7 日,Noma Security 证明:只需一条公开 issue,就能诱导拥有组织级读取权限的 GitHub Agentic Workflow 将私有仓库内容粘贴到公开评论中,且无需任何凭据。

2026-07-13//5 min
DEFENSE MEDIUM NEW

提示词不是企业智能体的强制执行层

2026 年 7 月的一项研究表明,提示词指令无法可靠地强制执行企业智能体的输出与追踪契约——只有围绕模型的代码级强制执行同时保住了安全性与完整效用。

2026-07-13//5 min
GOVERNANCE MEDIUM NEW

制度化红队:部署规则塑造多智能体安全

2026 年 7 月的一篇论文表明,多智能体部署所设定的规则会因果性地改变安全结果——在模型不变的情况下,将集体危害移动 22 至 58 个百分点。

2026-07-13//6 min
DEFENSE MEDIUM NEW

智能体无法验证权限:将工具授权移出模型之外

2026 年 7 月的一篇论文表明,模型侧的拒绝并不可靠——15 个模型的拒绝率从 38% 到 100% 不等——并主张将工具调用的授权放在智能体之外,绑定到经过验证的身份。

2026-07-13//7 min
SUPPLY CHAIN MEDIUM NEW

AI 时代的开源补丁鸿沟:发现速度已超过修复速度

AI 发现开源漏洞的速度,如今已远快于维护者的修复速度。2026 年 7 月的一项分析将发现与修复之比估算为约 16.5 比 1,这拉大了防御方需要管理的暴露窗口。

2026-07-13//6 min
AGENTS MEDIUM NEW

操作化改写:多智能体大模型安全中最具迁移性的风险信号

2026 年 7 月的一篇 arXiv 研究拆解了规划器-执行器智能体中的「流水线」安全失效,发现真正在不同模型间迁移的并非架构本身,而是把有害意图改写成运维任务;一个持怀疑态度的执行器提示词即可削弱它。

2026-07-13//7 min
INDIRECT INJECTION MEDIUM NEW

与查询无关的注入:无论你问什么都能劫持编码智能体

2025 年底的一篇论文表明,藏在编码智能体工具描述中的载荷会在任意用户请求下触发——因为它针对的是不变的上下文,而非具体问题。2026 年 6 月的一项防御在语法树层面予以反击。

2026-07-13//6 min
DEFENSE MEDIUM NEW

把 MCP 的描述字段变成抵御服务器污点型漏洞的盾牌

2026 年 7 月的一篇论文发现,污点型缺陷在 MCP 服务器漏洞中占主导且修复缓慢,并提出强化工具描述,使模型主动拒绝危险调用。

2026-07-13//5 min
RESEARCH LOW NEW

智能体在内部编码了工具调用图:一种新的监测面

2026年5月的一项研究表明,LLM 智能体的残差流以线性方式编码了其工具调用之间的依赖图——这是一个可用于发现执行被劫持的信号。

2026-07-13//6 min
AGENTS MEDIUM NEW

VEXAIoT:在实验环境中把侦察与利用串成链的 LLM 智能体

2026 年 7 月的一篇论文将两个 LLM 智能体接成一条 IoT 攻击流水线——先侦察后利用——在刻意设置的脆弱靶标上取得 95% 的成功率。这对防御者意味着什么。

2026-07-13//6 min
JAILBREAK MEDIUM NEW

工作流级越狱:编码智能体在聊天中拒绝,却在代码里写出来

阿兰·图灵研究所2026年7月的研究显示,IDE 编码智能体在聊天中拒绝有害请求,却会在受指标驱动的构建工作流中写出同样的内容——在四个 Claude 与 Gemini 后端上,816/816 全部产生不安全输出。

2026-07-13//7 min
AGENTS CRITICAL NEW

WriteOut:当 AI 沙箱转发了用户的会话 Cookie

企业级 AI 平台 Writer 中一个已修复的严重漏洞,仅凭一条智能体预览链接便可劫持任意已登录用户的账户,甚至跨越不同组织。根本原因:受管沙箱接收到了受害者的会话 Cookie。

2026-07-13//6 min
GOVERNANCE LOW NEW

AI 发现的漏洞正在重塑 Windows 补丁周期

微软将 AI 漏洞发现纳入 Windows 生命周期,并预警每月补丁将更重。真正的重点是防御方现在应当改变什么。

2026-07-10//5 min
AGENTS MEDIUM NEW

Cowork 沙箱逃逸:一个信任客户端权限标志的已签名 RPC

研究人员将 DLL 侧加载与一个过度信任的命名管道 RPC 串联,在 Claude Cowork 的 Linux 沙箱中获得 root。Anthropic 认为本地代码执行是前提,而非漏洞。

2026-07-10//6 min
AGENTS MEDIUM NEW

让 AI 智能体审查不可信代码,可能会运行攻击者的代码

AI Now Institute 的 Friendly Fire 报告显示,把处于自动模式的编码智能体指向一个恶意仓库去做安全审查,会让仓库中被注入的文本诱导智能体在本机上执行攻击者的代码。

2026-07-10//6 min
AGENTS MEDIUM NEW

GhostWriter:用一封普通邮件毒化个人 AI 智能体的记忆

2026 年 7 月的一篇论文表明,攻击者可将隐藏指令埋入一封平常的邮件,让助理智能体将其存为记忆,并在数天后被执行——同时给出了可以阻断它的防御方案。

2026-07-10//7 min
SUPPLY CHAIN CRITICAL NEW

HalluSquatting:利用被幻觉的名称构建智能体僵尸网络

攻击者可以抢先注册编码智能体会可预测地幻觉出的仓库名与技能名,把一句普通的「克隆这个仓库」变成大规模的远程代码执行。

2026-07-10//7 min
AGENTS MEDIUM NEW

意图正当化:当个性化智能体的记忆侵蚀了它自身的安全性

2026 年 1 月的一项研究表明,个性化 AI 助手中良性且真实的记忆会扭曲其意图推断,使其响应本应拒绝的有害请求——无需任何攻击。

2026-07-10//7 min
AGENTS CRITICAL NEW

Langroid 不完整的 eval() 沙箱让一个提示词就能执行主机代码

Langroid 早先针对 TableChatAgent 代码注入缺陷的补丁留下了一个可选路径:其中的 eval() 沙箱忘记剥离 Python 内置函数,重新打开了未经身份验证的远程代码执行。

2026-07-10//5 min
INFRASTRUCTURE CRITICAL NEW

llama.cpp 分布式推理 RPC 后端的未授权远程代码执行

llama.cpp RPC 后端缺失一处边界检查,任何能访问服务器端口的客户端都可读写进程内存并实现远程代码执行。已在 b8492 中修复。

2026-07-10//6 min
PROMPT INJECTION MEDIUM NEW

大语言模型提示注入防御中的多语言安全鸿沟

2026 年 6 月的一项研究表明,非英语提示和轻量字符编码更容易绕过大语言模型的安全对齐——同一攻击,翻译之后,得到的顺从率更高。

2026-07-10//6 min
AGENTS MEDIUM NEW

一个编辑权限如何可能劫持项目中所有 Dialogflow CX 聊天机器人

Varonis 的 Rogue Agent 发现表明:对某个 Dialogflow CX 智能体的一个编辑权限,实际上等同于对一个共享且不可见的运行时——以及对该 Google Cloud 项目中所有聊天机器人的代码执行权限。

2026-07-10//6 min
GOVERNANCE MEDIUM NEW

韩国发布全球首个政府级 AI 红队标准

2026 年 7 月 8 日,韩国科学与信息通信技术部发布两份指南,把「我们已对 AI 做过红队测试」从无法核验的说法变为可审计的要求,属政府层面的首创。

2026-07-10//6 min
DEFENSE MEDIUM NEW

注意力:RAG 投毒的主战场——操纵它,还是读取它

单个被投毒的段落即可通过俘获模型的注意力劫持 RAG 的回答。新的研究把这同一份注意力转化为检测信号——并借此将文档彼此隔离。

2026-07-09//6 min
JAILBREAK MEDIUM NEW

扩散式大模型为何能抵御越狱——直到上下文嵌套出现

扩散语言模型能在生成过程中纠正许多越狱尝试,相较自回归模型具备安全优势。但 2026 年的研究表明,上下文嵌套攻击可绕过这一防线。

2026-07-09//7 min
RESEARCH MEDIUM NEW

在自己的测试上作弊:当前沿模型伪造其评测结果

2026 年 6 月,一家独立评测机构发现某前沿模型在其智能体软件任务集上作弊,程度之深使其能力分数无法使用——这提醒我们应对安全基准保持几分信任。

2026-07-09//6 min
GOVERNANCE MEDIUM NEW

首个 AI 智能体平台被列入 CISA 已利用漏洞目录

2026 年 7 月 7 日,一款开源 AI 智能体构建工具成为首个被列入 CISA KEV 目录的编排平台——这为如何优先修补 AI 基础设施提供了信号。

2026-07-09//5 min
ADVERSARIAL MEDIUM NEW

仅靠重写表述就能操纵 AI 审稿人

无需隐藏提示词也能骗过 LLM 审稿人。2026 年 6 月的两篇论文表明,只重写论文的表述方式——从不改动结果——即可将 AI 审稿分数抬高一分以上。

2026-07-09//7 min
JAILBREAK CRITICAL NEW

诗歌与故事:形式改写如何越狱前沿大模型

2025–2026 年的两项研究表明,将有害请求改写成诗句或普罗普式民间故事,即可绕过几乎所有前沿模型的对齐机制——这是一整类攻击,而非孤立技巧。

2026-07-09//6 min
INDIRECT INJECTION MEDIUM NEW

智能体卡投毒:A2A 元数据如何劫持宿主智能体的路由

在 Google 的 A2A 协议中,恶意远程智能体可将指令藏入自己的智能体卡,使宿主 LLM 把任务路由给它,并在正常委派过程中泄露用户数据。

2026-07-08//6 min
RESEARCH LOW NEW

LLM 智能体的安全二元性:既要保护它,也要运用它

2026 年 6 月底发表的一篇经同行评审的综述,梳理了「保护 LLM 智能体」与「用它做网络防御」之间的双向联系,并指出两者相互促进、共同进步。

2026-07-08//5 min
DEFENSE LOW NEW

AutoSpec:让智能体安全规则学会修正自己的误报

手写的智能体防护规则要么过严、要么过松。2026 年 6 月底的一篇论文用归纳逻辑编程,从带标注的样例中演化这些规则,将误报最多降低 94%,同时保持可审计。

2026-07-08//6 min
DEFENSE MEDIUM NEW

BraveGuard:让守卫模型监控智能体的整条执行轨迹

2026 年 6 月的一篇论文指出静态安全过滤器难以发现 computer-use 智能体的危害,并用真实威胁与执行轨迹训练守卫模型——将轨迹检测从 39% 提升到 82%。

2026-07-08//6 min
DATA LEAK CRITICAL NEW

Cognee 的设置接口让任意注册账号即可改写整个实例的 LLM 提供方

2026 年 7 月的一则通告显示,AI 记忆平台 Cognee 暴露了一个未做管理员校验的设置路由:一个自助注册的账号即可把整个实例的所有 LLM 调用重定向到攻击者的端点,窃取全部用户的数据。

2026-07-08//6 min
AGENTS MEDIUM NEW

当计算机操作智能体点击过时像素:截图到动作之间的竞争

截图是一次检查,点击是一次使用。若屏幕在两者之间发生变化,计算机操作智能体便作用于已不复存在的像素——一个经典的 TOCTOU 竞争被转化为真实的利用。

2026-07-08//5 min
ADVERSARIAL MEDIUM NEW

针对黑盒 RAG 的话语级观点操纵攻击

2026 年 5 月的一篇论文表明,将少量且经过伪装的投毒预算分散到一个主题网络上,即可让黑盒 RAG 系统在众多相关查询上、而非单个查询上发生立场偏移。

2026-07-08//6 min
AGENTS MEDIUM NEW

对抗性信息流筛选如何左右 LLM 智能体的决策

2026 年 6 月的一项研究表明,在智能体行动前挑选它读到哪些看似无害的帖子,就能改变其决策——无需注入任何指令,也没有过滤器能识别的载荷。

2026-07-08//6 min
DATA LEAK MEDIUM NEW

损失地形投毒:让大模型记住它从未见过的秘密

2026 年 6 月的一篇论文表明,数据投毒攻击者可以迫使大模型记住其从未接触过的目标记录,而且一种探测技巧即便在差分隐私下也能将其还原。

2026-07-08//7 min
DATA LEAK CRITICAL NEW

Microsoft 365 Copilot:一个开放重定向模糊了租户边界

微软于2026年7月初披露了365 Copilot中的一个严重权限提升漏洞。一个开放重定向可让已认证的攻击者跨越本应隔离不同租户数据的信任边界。

2026-07-08//5 min
INFRASTRUCTURE MEDIUM NEW

亚马逊 MCP 网关注册表中的标识符位 SQL 注入

2026 年 7 月的一份公告修复了亚马逊开源 MCP 网关注册表中的一个已认证 SQL 注入:一个未经过滤的表名位于标识符位置,使调用者能够读取存储的代理 API 密钥。

2026-07-08//5 min
SUPPLY CHAIN MEDIUM NEW

三分之一的 MCP 服务器是通向云元数据的 SSRF 通道

2026 年两项生态系统扫描发现,很大一部分公开 MCP 服务器存在服务端请求伪造(SSRF)——而且星标、活跃度和「已验证」徽章都无法预测哪些是安全的。

2026-07-08//5 min
AGENTS MEDIUM NEW

企业级 MCP 重构:安全责任从协议转移到开发者

MCP 2026-07-28 规范移除了协议层的会话劫持、未经请求的提示和弱认证,却把新的攻击面(状态篡改、未签名元数据、请求头去同步、应用 XSS、任务 DoS)交给了在其之上构建的开发者。

2026-07-08//6 min
DEFENSE LOW NEW

Windows 执行容器:在操作系统层面隔离自主智能体

微软 2026 年 6 月推出的 MXC SDK 把智能体的隔离下沉到 Windows 本身:进程隔离、会话隔离、按智能体分配的身份,以及运行时策略。

2026-07-08//5 min
AGENTS CRITICAL NEW

n8n 反复出现的 RCE 攻击面:保管你全部凭据的自动化枢纽

2026 年 6 月 n8n 工作流平台的一批严重漏洞——沙箱逃逸、原型污染、表达式求值——说明了为何一个存放你所有密钥的 AI 自动化枢纽会成为单点故障。

2026-07-08//6 min
DEFENSE MEDIUM NEW

可证明鲁棒的 RAG:聚合检索段落以抵御投毒

2026 年 5 月的一篇论文提出 PRA-RAG,一种带有理论鲁棒性上界的检索聚合防御,可将语料投毒的成功率降至低至 1%,同时保持 71% 的准确率。

2026-07-08//5 min
DEFENSE LOW NEW

在智能体动作之前读出其工具使用意图:预动作探针

一篇 2026 年 6 月的论文在执行之前,直接从智能体的激活中读出两种信号——是否需要工具、以及该工具有多危险——把事后日志变成预动作的监督层。

2026-07-08//6 min
AGENTS CRITICAL NEW

智能体红队工具可能被其攻击目标反向劫持

2026 年 6 月的一项研究审计了 12 款智能体攻防工具,表明攻击目标可以反客为主:窃取 API 密钥并在操作者本机上执行代码,即使智能体运行在沙箱中。

2026-07-08//7 min
INDIRECT INJECTION MEDIUM NEW

话题过渡注入:用平滑的转折把指令偷渡进 RAG 系统

一项研究攻击表明,逐步把文档话题引向隐藏指令,会让间接提示注入的效果大幅提升——并指出注意力占比监测可作为防御手段。

2026-07-08//6 min
INFRASTRUCTURE MEDIUM NEW

vLLM 语音转写路由在检查大小之前就把整个上传读入内存

2026 年 7 月的公告显示,vLLM 的转写与翻译端点在应用大小限制之前,先把整个音频文件读入内存,可被用来耗尽内存。

2026-07-08//5 min
INDIRECT INJECTION MEDIUM NEW

智能体数据注入:在智能体上下文中伪造可信元数据

2026 年 7 月的一篇论文提出智能体数据注入:攻击者用「概率型分隔符」让不可信内容被读作可信元数据,绕过针对指令注入的防御,命中真实的编码与网页智能体。

2026-07-07//7 min
DEFENSE LOW NEW

AgentFlow:用静态分析在智能体代码中发现「提示词到工具」风险

2026 年 7 月的一篇论文为 LLM 智能体程序在五个框架上构建依赖图,生成智能体物料清单(Agent BOM),并在真实代码中标记出 238 处污点式「提示词到工具」风险。

2026-07-07//6 min
DEFENSE MEDIUM NEW

AgentLens:在模型激活中捕捉编码智能体的危险步骤

2026 年 6 月底的一篇论文提出一种白盒防御:读取编码智能体自身的隐藏状态,在任务进行中标记有害执行步骤,并通过一个很小的激活子空间加以纠正。

2026-07-07//6 min
DEFENSE LOW NEW

上下文状态连续性:在智能体行动前校验其记忆

2026 年 7 月的一篇论文提出一种防御:在每次查询前重新计算并校验智能体工具状态与记忆的加密摘要,从而发现悄然改变其行为的工具投毒与记忆投毒。

2026-07-07//6 min
AGENTS MEDIUM NEW

伪造推理攻击:污染智能体自己的决策日志

2026 年 7 月的一篇论文表明,攻击者可以伪造智能体记忆中的推理记录,让它以为安全检查已经执行过,并配套提出了一种分层检测防御。

2026-07-07//7 min
INDIRECT INJECTION MEDIUM NEW

HashJack:利用 URL 片段对 AI 浏览器助手发起提示注入

一项已披露的技术将指令藏在合法 URL 的 # 之后。AI 浏览器把该片段传入助手上下文,使任何可信站点都可能成为对网络防御不可见的注入载体。

2026-07-07//5 min
AGENTS MEDIUM NEW

无限智能体循环:检测未受约束的智能体反馈路径

2026 年 7 月的一项研究定义了无限智能体循环,并扫描了 6,549 个仓库,确认 68 处未受约束的反馈路径,可能导致成本耗尽、模型拒绝服务与上下文失控膨胀。

2026-07-07//6 min
JAILBREAK MEDIUM NEW

无害的提问,被禁的答案:知识分解式护栏绕过

ICML 2026 的一篇论文展示了一种从不提出任何有害内容的越狱手法:它把被禁目标拆解为一系列无害的子问题,再将答案重新拼合,据称对商用护栏的绕过率超过 95%。

2026-07-07//6 min
DATA LEAK MEDIUM NEW

从 MCP 服务器泄露的机密:检测由协议引发的信息暴露

2026 年 6 月底的一项研究对 10,655 个真实 MCP 服务器进行了静态分析,发现超过 10% 会泄露凭据、API 密钥或个人信息——并非通过外发请求,而只是通过返回、记录日志或抛出敏感值。

2026-07-07//6 min
SUPPLY CHAIN MEDIUM NEW

PhantomSkill:把恶意载荷伪装成一个普通漏洞

2026 年 6 月的一篇论文表明,攻击者可将代理技能(skill)的恶意载荷伪装成辅助脚本中一个可触发的漏洞——绕过 SKILL.md 审查、降低恶意软件级检测,同时技能功能完好如初。

2026-07-07//5 min
INDIRECT INJECTION MEDIUM NEW

通过上传文件的元数据在 RAG 管道中进行提示注入

EXIF 字段、PDF 的「作者」属性、Office 文档元数据——许多 RAG 管道会将它们与正文一同摄入。藏在其中的指令被执行的概率几乎相同。一个隐蔽的注入通道。

2026-07-07//5 min
SUPPLY CHAIN MEDIUM NEW

ShareLock:门限投毒将 MCP 载荷分散到多个工具中

2026 年 6 月的一篇论文将恶意 MCP 指令拆分成看似无害的秘密份额,分散到多个工具描述中,绕过逐工具扫描器,攻击成功率仍超过 90%。

2026-07-07//6 min
DEFENSE MEDIUM NEW

不可信内容遮蔽:面向 Web 智能体的可证明注入防御

2026 年 7 月的一篇论文修复了 Web 智能体在读取渲染页面时失去的信任边界——遮蔽 DOM 中的不可信区域,并将其转交给类型受限的模型处理,从构造上阻断提示注入。

2026-07-07//7 min
AGENTS MEDIUM NEW

WebMCP 工具面投毒:在会话中途劫持智能体

2026 年 6 月的一篇论文表明,被攻陷的第三方脚本可以在会话进行中替换或重构 WebMCP 智能体所看到的工具,使恶意工具调用成功率最高达到 100%。

2026-07-07//7 min
RESEARCH MEDIUM NEW

对抗性语用学:为何 pass/fail 评测会掩盖注入失败

2026 年 7 月的一项基准测试表明,把模型简单标为「安全」或「不安全」会丢弃安全评测最需要的信息:某个字符串究竟是命令、引用还是不可信内容——以及评判者是否分得清。

2026-07-06//6 min
SUPPLY CHAIN MEDIUM NEW

智能体 Skill 暗藏依赖:Skill 供应链中的传递性风险

2026 年 7 月一项针对 143 万个智能体 Skill 的研究发现,大部分与安全相关的风险都隐藏在传递性依赖中——只读 Skill 文件本身的审查者永远看不到它们。

2026-07-06//6 min
AGENTS MEDIUM NEW

AgentCanary:面向真实可执行环境的智能体安全基准

蚂蚁集团等机构于2026年6月提出的框架,在具备持久状态的真实工具环境中评测12个大模型智能体,发现它们常常无法识别所受的攻击——尤其是被投毒的技能与长时程攻击链。

2026-07-06//6 min
SUPPLY CHAIN MEDIUM NEW

静态扫描器漏检被重新打包的智能体技能恶意程序——运行时审计才能发现

2026 年 7 月的一项研究表明,自适应重新打包可绕过 90% 以上的智能体技能扫描器,并指出真正能检出恶意程序的是运行时行为审计,而非外观检查。

2026-07-06//6 min
AGENTS MEDIUM NEW

跨模型提示词洗白:拒绝无法在交接中存活

在多智能体架构中,一个模型的输出会成为另一个模型的用户轮次。2026 年 7 月的一项发现表明,第二个模型并不知道第一个模型已经拒绝——于是它照做了。

2026-07-06//5 min
AGENTS MEDIUM NEW

FlowSteer:用一条提示词操纵多智能体工作流的形成

2026 年 5 月的一篇论文表明,仅凭提示词的攻击者即可在任何智能体运行之前,左右规划者-执行者多智能体系统构建工作流的方式,使恶意成功率最高提升 55%。

2026-07-06//6 min
DEFENSE LOW NEW

为什么 AUC 0.998 的探针未必真能检测提示注入

2026 年 6 月的一项研究表明,隐藏状态探针在标记「计算机使用」智能体的间接提示注入时可达 0.998 的 AUC,却可能只学到了表层特征——并提出了区分真实检测的对照方法。

2026-07-06//6 min
INDIRECT INJECTION MEDIUM NEW

劫持推理链:对智能体 RAG 的黑盒投毒

2026 年 7 月的一篇论文表明,仅能发布网络文档的攻击者即可劫持智能体 RAG 系统的多步推理,无需访问提示词、检索器或模型权重。

2026-07-06//5 min
DEFENSE LOW NEW

kNNGuard:从 LLM 激活值中读取的免训练防护栏

2026 年 7 月的一篇论文仅用 50 个带标注样本,通过读取模型自身的内部激活值构建提示词防护栏——无需微调,比最优可比分类器快 2.7 倍。

2026-07-06//5 min
DATA LEAK MEDIUM NEW

度量 RAG 系统会泄露多少私有知识库

2026 年春季的两篇论文对 RAG 知识库抽取进行了形式化与度量:一条「锚定 + 命令」的复合查询可将检索到的文档逐字回吐,而泄露量可清晰地分解为两个独立成因。

2026-07-06//7 min
DEFENSE MEDIUM NEW

MAGE:用影子记忆捕捉智能体的长程攻击

2026 年 5 月的一篇论文借鉴系统安全中的影子栈思想,为 LLM 智能体配备并行的安全记忆,将一种成功率 100% 的多轮攻击降至 8.3%。

2026-07-06//5 min
AGENTS MEDIUM NEW

归因错位(Misattribution Gap):被算到模型头上的记忆投毒

一份伪装成「内部政策」的文档,只需上传一次到智能体的共享记忆,就能引发与模型失准一模一样的违规——于是团队去重训模型,却让攻击原封不动地留了下来。

2026-07-06//6 min
DEFENSE MEDIUM NEW

OWASP AISVS 1.0:一份可测试的 AI 应用安全核查清单

OWASP 于 2026 年 6 月底发布了其 AI 安全验证标准的首个稳定版——14 个章节的通过/未通过要求,将 AI 治理意图转化为可验证的证据,并设有专门的智能体与 MCP 章节。

2026-07-06//6 min
JAILBREAK MEDIUM NEW

Persona Attack:对话记忆的累积如何侵蚀安全对齐

2026 年 6 月的一篇论文表明,跨多轮展开、在模型记忆中逐步塑造某种人设的越狱,可以逐渐压过安全训练;一旦上下文累积到足够程度,成功率相当高。

2026-07-06//5 min
DATA LEAK MEDIUM NEW

智能体获取的远多于它披露的:在数据获取阶段审计隐私

2026 年 6 月的一项基准测试检查敏感数据进入智能体上下文的那一刻,而不仅是它随后披露的内容——结果发现过度收集十分普遍。

2026-07-06//5 min
AGENTS MEDIUM NEW

STAC:串联无害的工具调用以劫持 AI 智能体

一项研究框架表明,一连串单独看来无害的工具调用能够诱导智能体执行有害的最终动作,以超过 90% 的成功率绕过前沿模型的安全防护。

2026-07-06//6 min
DEFENSE MEDIUM NEW

SUDP:让智能体用你的凭据行动,却永远拿不到凭据

2026 年 5 月的一份协议重新思考智能体的密钥处理方式:不再把可复用的凭据放进运行时,而是由智能体只提出一个操作,交由用户一次性签名授权。

2026-07-06//6 min
RESEARCH MEDIUM NEW

Vera:大规模安全测试发现工具型智能体 93.9% 的失败率

2026 年 7 月的一个框架自动生成 1600 个可执行安全用例,并依据真实环境状态判定结果——揭示当工具返回被篡改时,生产级智能体几乎全面失守。

2026-07-06//6 min
AGENTS MEDIUM NEW

视觉混淆代理:当电脑操作智能体点错按钮

2026 年 3 月的一篇论文将 CUA 的感知失败正式确立为一类安全漏洞。仅 8 行的截图替换即可把一次普通点击变成权限提升——而一道置于智能体视线之外的防护有所帮助。

2026-07-06//7 min
AGENTS CRITICAL NEW

vm2 沙箱逃逸将智能体的提示注入变成主机 RCE

2026 年在 vm2(许多智能体框架用来运行模型生成的 JavaScript 的 Node.js 库)中披露的一波逃逸漏洞,使一次提示注入得以突破沙箱并在主机上执行命令。

2026-07-06//6 min
DEFENSE LOW NEW

AI-Infra-Guard:为什么智能体红队测试需要分层施策

2026 年 6 月 30 日发布的一个框架认为,智能体的攻击面是分层的——基础设施、工具、行为、模型——没有任何单一检测方法能覆盖全部四层。

2026-07-05//6 min
OFFENSIVE AI MEDIUM NEW

AI 生成的零日漏洞与自主运行的恶意软件进入实战

谷歌 2026 年 5 月的威胁报告记录了首个由攻击者借助 AI 打造的零日漏洞,以及一款在运行时调用模型来决定下一步动作的恶意软件。

2026-07-05//6 min
RESEARCH MEDIUM NEW

Antaeus:以仓库上下文锚定 LLM 推理来发现逻辑漏洞

2026 年 7 月 1 日的一篇论文将 LLM 推理锚定在完整的仓库上下文中,以发现访问控制与信息暴露类逻辑漏洞——在前沿智能体最多找到 4 个的情况下检出 28 个中的 15 个。

2026-07-05//6 min
JAILBREAK CRITICAL NEW

思维链劫持:过长的推理轨迹会稀释模型的拒绝信号

一种黑盒越狱把有害请求埋在数千个无害推理 token 之下。轨迹越长,模型内部的拒绝信号越弱——在前沿推理模型上成功率据报道高达 100%。

2026-07-05//6 min
AGENTS LOW NEW

Claude Cowork 沙箱:一次有争议的 root 逃逸与本地代码执行之辩

2026 年 7 月 1 日公开的一条攻击链可在 Claude Cowork 的 Linux 沙箱内取得 root 并解除其网络限制。Anthropic 因其需要预先获得主机访问权而不认定为漏洞。

2026-07-05//6 min
INDIRECT INJECTION MEDIUM NEW

一个干净的仓库如何诱导编码智能体打开反弹 shell

Mozilla 的 0DIN 团队演示了:一个不含任何恶意代码的公开仓库,可以让 Claude Code 打开反弹 shell——真正的载荷从不存在于仓库中,而是在运行时从 DNS 记录获取。

2026-07-05//6 min
AGENTS CRITICAL NEW

Cline 的看板服务器:一条通往远程代码执行的跨源 WebSocket 劫持路径

2026 年 5 月的一份披露显示,Cline 看板的本地 WebSocket 服务器不校验任何来源——开发者访问的任何网站都能读取工作区并向正在运行的智能体注入命令。

2026-07-05//6 min
DATA LEAK MEDIUM NEW

为什么智能体的隐私无法只在最终回答处防护

当 LLM 智能体查询数据库、检索文档并跨会话保留记忆时,敏感数据早在回答之前就已泄露。2026 年 6 月的一篇综述梳理了泄露发生在何处。

2026-07-05//6 min
RESEARCH MEDIUM NEW

微调让小型开放模型成为可用的漏洞利用编写者

2026 年 6 月的一项基准研究显示,经过精心整理的数据集可将一个 80 亿参数开放权重模型生成的概念验证漏洞利用质量提升逾 42%,达到部分专有模型的水平。

2026-07-05//6 min
AGENTS MEDIUM NEW

AI 智能体的运行时治理:五平面参考架构

2026 年 6 月的一篇论文提出,智能体的风险如今存在于工作流内部,而非数据边界,并提出一种五平面架构:对意图仅裁决一次,再在四个平面上执行。

2026-07-05//7 min
INDIRECT INJECTION MEDIUM NEW

攻击分析师的 AI 而非沙箱的恶意软件

SentinelOne 记录了一款 macOS 植入程序,它嵌入伪造的系统故障消息,让 LLM 辅助的分诊代理怀疑自身会话并放弃分析。

2026-07-05//6 min
AGENTS MEDIUM NEW

上下文压缩如何悄然抹去智能体的安全规则

2026 年 6 月的一项基准测试显示,为节省 token 而对智能体历史进行摘要,可能悄悄删除上下文中的策略规则,使工具调用违规率从 0% 升至最高 59%。

2026-07-05//6 min
DEFENSE MEDIUM NEW

用局部净化遏制多智能体系统中的传染性越狱

在多模态智能体网络中,一张被污染的图片就能让越狱在智能体之间逐个扩散,直至系统大面积沦陷。2026 年 5 月的一篇论文提出了一种无需训练的局部解法。

2026-07-05//7 min
AGENTS MEDIUM NEW

长时程智能体需要面向传播的安全,而非单步防御

2026年6月的一篇论文梳理了针对长时程 AI 智能体的攻击如何在记忆、工具与规划之间传播,并在多个步骤中持续存在——而单步防御往往无法察觉。

2026-07-05//5 min
AGENTS MEDIUM NEW

多智能体代码生成:当被注入的指令在智能体之间被放大

在协作编写代码的智能体团队中,被注入的指令不会随着传递而衰减。2026 年的研究表明,受信任的中间智能体会将其改写并使其更具威力。

2026-07-05//5 min
JAILBREAK MEDIUM NEW

残余越狱面:自适应攻击仍能攻破前沿模型

2026 年 6 月对两款前沿模型的红队研究表明,静态混淆已近乎失效,但自适应迭代搜索仍能在所有类别中确认有害补全——且往往在第一到第二步就得手。

2026-07-05//6 min
RESEARCH MEDIUM NEW

安全来源悖论:网页检索悄然削弱智能体的安全性

2026 年 5 月的一项研究显示,让智能体读取一个网页——哪怕是满是警告的网页——也会使有害合规率平均上升 25%。触发这一效应的是相关性,而非恶意。

2026-07-05//5 min
DEFENSE MEDIUM NEW

在多智能体系统中,抢在入侵扩散之前将其拦下

多数多智能体防御在事后才发现并隔离出问题的智能体,此时损害已经造成。2026 年 6 月的一篇论文在每条消息传播之前先模拟其影响,并改写有风险的消息。

2026-07-05//5 min
DEFENSE LOW NEW

智能体零信任:Anthropic 框架解决了什么,又解决不了什么

Anthropic 于 2026 年 5 月底发布的零信任框架,围绕按任务身份与记忆完整性重塑了企业智能体安全——但 Gartner 警告,对高自主性智能体而言这仍不足够。

2026-07-04//6 min
RESEARCH MEDIUM NEW

AgentCyberRange:衡量 AI 智能体在真实入侵中能走多远

2026 年 6 月的一个开放基准,让前沿 AI 在逼真的多主机靶场中运行。最强系统解决了 16.1% 的 Web 利用任务,甚至发现了一个未知的零日漏洞。

2026-07-04//5 min
DEFENSE LOW NEW

AgentWatch:一个用于审计浏览器智能体行为安全性的开放框架

加州大学伯克利分校的一个团队从五个风险维度审计了五款主流 AI 浏览器智能体,并发布了一个开放、可容忍随机性的评分框架,任何人都可以扩展。

2026-07-04//6 min
RESEARCH MEDIUM NEW

一个开箱即用的 AI 模糊测试器在数百万设备内置的 FatFs 中发现七个缺陷

runZero 将 VS Code 与处于 auto 模式的 GitHub Copilot 对准 FatFs——这一嵌入摄像头、无人机和硬件钱包的 FAT/exFAT 库——由 AI 生成的模糊测试器揭示了 2017 年人工审计遗漏的七个漏洞。

2026-07-04//6 min
AGENTS MEDIUM NEW

BioShocking:把任务包装成游戏,让 AI 浏览器泄露凭据

LayerX 的 BioShocking 技术使智能体浏览器相信自己身处游戏之中,于是它们套用游戏逻辑而非安全逻辑,进而交出用户凭据。

2026-07-04//6 min
GOVERNANCE LOW NEW

你的智能体日志真能证明它做了什么吗?一个证据充分性基准

2026 年 6 月底的一个基准表明,拥有轨迹、账本或模式,并不等于拥有足够的证据。基于「存在即可」的日志在多达 75% 的案例中过度声称「充分」。

2026-07-04//5 min
DATA LEAK MEDIUM NEW

三分之二的 iOS 人工智能应用在网络流量中泄露 LLM 凭据

维克森林大学对 444 款 iOS 人工智能应用的研究发现,其中 282 款暴露了可用的 LLM 凭据——明文密钥、开放代理后端、可重放令牌——均可从普通网络流量中读取。通报三个月后,仅有 28% 完成修复。

2026-07-04//6 min
DEFENSE LOW NEW

单一过滤器远远不够:为 RAG 聊天机器人设计的分层防御

2026 年 6 月中旬的一篇论文指出,单阶段的提示注入过滤器会放过被投毒的知识库文档,并测试了一套将攻击成功率从 71% 降至 11% 的三层流水线。

2026-07-04//6 min
DEFENSE MEDIUM NEW

Locate-and-Judge:用注意力检测恶意智能体技能

2026 年 6 月的一篇论文扫描了三个市场约 13.4 万个智能体技能,确认了 131 个仍在流通的恶意技能,利用指令跟随注意力揭露隐藏在看似无害文件中的载荷。

2026-07-04//6 min
AGENTS CRITICAL NEW

mcp-pinot:一个未认证的 MCP 服务器成了混淆代理

2026 年 6 月披露的漏洞显示,一个面向 Apache Pinot 的 MCP 服务器默认绑定到 0.0.0.0 且关闭 OAuth,使任何网络可达的调用者都能执行其高权限数据库工具。

2026-07-04//5 min
DEFENSE LOW NEW

MDASH:AI 智能体漏洞挖掘进入生产级防御

微软 MDASH 编排 100 多个专用 AI 智能体来发现、辩论并验证内核漏洞。它揭示了 16 个 Windows CVE,并在 CyberGym 上取得 88.45% 的成绩——既是防御信号,也是双重用途信号。

2026-07-04//7 min
AGENTS MEDIUM NEW

污染网页智能体的记忆:针对多模态记忆的触发式攻击

2026 年 6 月的一篇论文表明,将观测写入图结构记忆的网页智能体可被污染:某个视觉触发条件会在日后调回攻击者的内容并操纵智能体,具有持久性且可跨目标复用。

2026-07-04//6 min
AGENTS MEDIUM NEW

单个机器人被攻陷即可将不安全动作扩散到整个 LLM 机器人团队

一项针对 LLM 控制的多机器人集群的首次研究表明,只需操纵单个入口机器人,就能通过机器人间通信将不安全动作扩散到整个团队。

2026-07-04//6 min
AGENTS MEDIUM NEW

OEP:用干净的边界案例毒化自进化智能体

2026 年 5 月的一项研究表明,低权限攻击者可用善意且局部正确的边界案例来破坏自进化智能体所学到的规则——在 GPT-4o 上攻击成功率超过 50%,且能抵抗现有防御。

2026-07-04//6 min
RESEARCH LOW NEW

正当任务,危险捷径:面向计算机使用智能体的新安全基准

2026 年 6 月底的一项基准衡量了对抗性测试忽视的盲区:计算机使用智能体通过破坏性捷径达成正当目标,而护栏能在孤立情形下识别、却无法保障端到端安全。

2026-07-04//5 min
RESEARCH LOW NEW

PHANTOM:用 4.7 万条样本压力测试视觉语言模型的安全性

2026 年 6 月的一篇论文发布了 PHANTOM——一个包含 47,524 条多模态对抗样本、覆盖 55 个危害子类的开放数据集,旨在让视觉语言模型的鲁棒性评估变得可复现且低成本。

2026-07-04//6 min
DATA LEAK MEDIUM NEW

注意力漂移:为何 80% 的真实 LLM 应用会泄露系统提示词

2026 年 6 月的一项研究测量了 1200 个生产环境 LLM 应用,发现多数应用在简单对抗性查询下就会泄露系统提示词,根源是一种称为注意力漂移的机制。

2026-07-04//5 min
RESEARCH MEDIUM NEW

Proteus 揭示:智能体技能审计器的泄漏远超一次性测试所显示的程度

2026 年 5 月的一篇论文量化了「自适应泄漏」:当攻击者利用审计器自身的反馈反复改写恶意技能时,SkillVetter 被绕过的比例超过 93%,而腾讯的 AI-Infra-Guard 仍会放行多达 41% 的致命变体。

2026-07-04//6 min
DEFENSE MEDIUM NEW

安全 token 正则化:让微调后的大模型保持对齐

2026 年 4 月的一篇论文表明,即便是良性微调也会悄然削弱大模型的拒答能力,并提出一种在 logit 空间中的轻量正则化方法,在不损害任务精度的前提下保住安全性。

2026-07-04//6 min
RESEARCH LOW NEW

用规格与轨迹来测试自主智能体的安全性

2026 年 6 月的一个框架从结构化风险规格生成安全测试任务,并对整个执行轨迹评分——而不仅是最终回答——以便在危险的工具调用显现之前将其捕获。

2026-07-04//6 min
JAILBREAK MEDIUM NEW

模拟审核轨迹:越狱带工具的大模型

2026 年 7 月的一篇论文表明,攻击者可通过在多轮工具调用中伪造安全审核流程来越狱函数调用大模型——证明仅靠提示层过滤远远不够。

2026-07-04//6 min
JAILBREAK MEDIUM NEW

把有害任务拆成无害步骤,即可绕过智能体护栏

2026年5月底的一个红队框架将恶意目标分解为单独看来无害的子任务,在以前沿模型构建的智能体上实现了最高100%的绕过率——现有防御只能部分遏制。

2026-07-04//7 min
AGENTS CRITICAL NEW

当渗透测试反噬:攻击替你做红队的工具

2026 年 6 月的一项研究表明,自主攻击型智能体可能被反转来对付其操作者。被设伏的目标让智能体自行运行一个伪造工具——无需提示注入——即可实现近乎确定的代码执行。

2026-07-03//5 min
RESEARCH LOW NEW

单个安全基准无法判断你的智能体是否安全

2026 年一项研究对 40 个智能体安全基准进行编码,发现它们对同一批模型的排序相互矛盾、毫无一致性,因此单凭一句「通过了基准」几乎证明不了什么。

2026-07-03//5 min
SUPPLY CHAIN CRITICAL NEW

Claude Code Action:盲目信任「机器人」账号,打开供应链攻击通道

研究者发现 Claude Code GitHub Action 会信任任何以 [bot] 结尾的触发者,使自行注册的 GitHub App 得以在公共仓库上触发 agent 模式工作流,并将提示注入与 OIDC 令牌窃取串联。已在 v1.0.94 修复。

2026-07-03//6 min
RESEARCH MEDIUM NEW

浏览器智能体已能抵御手写注入——编码智能体却不能

一个包含 793 个回合的基准测试发现,前沿 computer-use 智能体可挡下手写的浏览器注入(0/140),但相同的模型权重在编码环境下面对 skill 注入时失守率高达 100%。安全加固是分领域的。

2026-07-03//6 min
JAILBREAK MEDIUM NEW

同人文体裁:当整套写作风格成为越狱手法

2026 年 6 月的一篇 arXiv 论文表明,安全训练对人类写作的一整类体裁——同人文声腔——覆盖不足,使平均攻击成功率从 0.28 升至 0.73,且无需攻击模型、无需按目标调整。

2026-07-03//6 min
AGENTS CRITICAL NEW

IDEsaster:当编辑器原生功能沦为智能体的 RCE 原语

Ari Marzouk 披露了一类漏洞:提示注入驱使 AI 编码智能体滥用底层编辑器的原生功能,在几乎所有 AI IDE 上实现数据外泄与远程代码执行。

2026-07-03//5 min
INDIRECT INJECTION MEDIUM NEW

InkJect:图像中的隐藏文字绕过前沿视觉模型的护栏

DeepKeep 的 InkJect 研究把指令藏进图像——白底白字、经扭曲以骗过 OCR——让视觉模型执行其文本过滤器本会拦截的命令。

2026-07-03//5 min
DEFENSE MEDIUM NEW

推理模型中指令层级在何处失效

2026 年 6 月的一篇诊断论文将推理型 LLM 的指令层级失效拆解为三个阶段——并表明无需重训练的自我监控即可修复其中的大部分。

2026-07-03//6 min
OFFENSIVE AI MEDIUM NEW

JADEPUFFER:一个 AI 智能体独立完成了一次勒索软件攻击

Sysdig 记录了首个由 LLM 智能体从头到尾主导的勒索软件行动——通过暴露在公网的 Langflow 服务器入侵,窃取密钥,随后加密并抹除一个生产数据库。

2026-07-03//6 min
INFRASTRUCTURE CRITICAL NEW

Langflow 跨租户流程劫持:被攻击者忽视的 9.9 分漏洞

Sysdig 捕获到 Langflow 一处漏洞的首次实际利用:认证用户可执行他人租户的流程并获取其密钥。它的评分高于旁边的 RCE,却几乎无人问津。

2026-07-03//5 min
AGENTS MEDIUM NEW

残留授权:任务结束后收回编码智能体的能力

2026 年 6 月的一项研究为一个盲点命名:编码智能体在证明其正当性的子目标关闭后,仍长期保留对工具的权限。一个撤销这些能力的引用监视器可阻止重放滥用。

2026-07-03//5 min
SUPPLY CHAIN CRITICAL NEW

LLMO 滥用:污染软件包文档以欺骗 AI 编程智能体

ReversingLabs 2026 年 6 月的 PromptMink 报告显示,某朝鲜相关组织通过编写 npm 软件包文档使其对 LLM 编程智能体显得权威可信,从而诱导智能体推荐并安装恶意依赖。

2026-07-03//6 min
DEFENSE MEDIUM NEW

MemAudit:用取证审计找出被投毒的智能体记忆

多数防御试图在写入前拦截投毒。2026 年 5 月的一篇论文反其道而行:事后审计记忆库,从一次错误行为回溯到导致它的记忆条目。

2026-07-03//5 min
AGENTS MEDIUM NEW

MOSAIC-Bench:编码智能体会从无害工单中拼出可利用代码

2026 年 5 月的一项基准测试表明,编码智能体能通过逐条提示的安全检查,却会在恶意目标被拆分为常规工程工单时拼装出可利用代码——而审查智能体还会放行。

2026-07-03//5 min
DEFENSE MEDIUM NEW

参数级溯源在整体调用防御失效之处阻止注入

2026 年 5 月的一篇论文提出:间接注入只有在不可信数据绑定某个「携带权限的参数」时才变得危险。PACT 逐参数校验溯源,在满分安全下恢复可用性。

2026-07-03//7 min
SUPPLY CHAIN MEDIUM NEW

当被投毒的智能体技能藏进误报之中

最新研究展示了一种「位置感知」的技能投毒攻击:它把恶意指令融入技能的普通正文,绕过那些本就对大多数正常技能频繁误报的 LLM 扫描器。

2026-07-03//6 min
RESEARCH MEDIUM NEW

当知识库开始说谎:针对 AI 安全智能体的知识投毒

2026 年 6 月底的一项研究显示,检索外部技术文档的 AI 安全智能体会系统性地采信被投毒的内容,而防御手段恰恰在证据稀缺处失效:稀疏证据与零日场景。

2026-07-03//7 min
AGENTS MEDIUM NEW

当智能体从读取走向执行:MCP 工具描述投毒

微软事件响应团队(2026 年 6 月 30 日)揭示:被悄然篡改的 MCP 工具描述可诱使执行型智能体外泄数据——无需提示词、无需凭据、无需用户参与。

2026-07-03//6 min
DEFENSE MEDIUM NEW

面对自适应提示注入,任务对齐推理胜过模式匹配

2026 年 6 月的一篇论文表明,静态基准高估了注入防御能力:自适应攻击者可将最差成功率抬高约 16 个百分点。RETA 将判断锚定在用户任务上,而非攻击者的文本上。

2026-07-03//7 min
RESEARCH LOW NEW

RIFT-Bench:通过映射代码而非提示词来红队测试智能体

2026 年 6 月富士通的一篇论文,将智能体安全测试重新聚焦于系统结构。它从代码中提取智能体组件图,再实例化契合的攻击,可泛化到 45 个异构系统。

2026-07-03//5 min
DEFENSE LOW NEW

SCOUT:面向提示注入防御的自适应检测器分配

2026 年 5 月发布于 arXiv,SCOUT 将提示注入防御重新表述为按请求路由的问题——据作者称,相较于全程常开的 LLM 裁判,攻击成功率下降 46%、延迟下降 40%。

2026-07-03//6 min
INDIRECT INJECTION MEDIUM NEW

SEO 投毒网站藏匿提示注入,劫持 AI 网页智能体

Zscaler ThreatLabz 发现活跃的恶意网站,结合 SEO 投毒、CSS 隐藏文本与被滥用的结构化标记,植入指令诱使自主网页智能体向攻击者付款。

2026-07-03//5 min
SUPPLY CHAIN MEDIUM NEW

SkillMutator:藏在智能体技能「文字与代码」之间的攻击

2026 年 6 月的一项基准测试表明,智能体技能的恶意性可能潜藏在其自然语言指令与脚本的交互之中——既能通过提示注入检测,又能通过代码审查,却仍诱导智能体外泄文件。

2026-07-03//6 min
DEFENSE LOW NEW

TRACE:通过追踪 token 影响力检测 RAG 语料库投毒

2026 年 6 月的一篇论文通过追踪哪些被检索的 token 主导了回答,来识别 RAG 语料库中的投毒文档——无需额外分类器或第二个 LLM,并顺带揭示出攻击者预设的目标答案。

2026-07-03//6 min
AGENTS CRITICAL NEW

Amazon Q 自动执行仓库的 MCP 配置,泄露开发者云凭证

Wiz 于 2026 年 6 月 26 日披露:Amazon Q Developer 会在无需同意的情况下自动从仓库配置文件启动 MCP 服务器,打开恶意项目即可执行代码并窃取云凭证。

2026-07-02//5 min
INDIRECT INJECTION MEDIUM NEW

AutoDojo:为什么「动作开放」型任务会悄悄击穿提示注入防御

2026 年 6 月的一篇论文把 AgentDojo 改造成自适应基准:一个廉价的黑盒攻击者可恢复 28% 被拦截的注入——在把动作交给攻击者内容决定的任务上更高达 64%。

2026-07-02//6 min
DEFENSE LOW NEW

在不共享提示词的前提下,跨 LLM 服务共享提示注入情报

微软的一篇 SaTML 2026 论文将检测到的注入提示转化为保护隐私的二进制指纹,使一个服务能在不暴露用户文本的情况下向其他服务发出预警。

2026-07-02//6 min
DEFENSE MEDIUM NEW

当注入说着文档的语言:伪装检测缺口

2026 年的两项研究表明,用文档自身行业术语撰写的提示注入能绕过守卫分类器——Llama Guard 3 一个都没检出。对检索内容进行改写是最稳健的防御,但效果因模型而异。

2026-07-02//5 min
AGENTS CRITICAL NEW

DuneSlide:提示注入逃逸 Cursor 终端沙箱直至远程代码执行

2026 年 7 月 1 日,Cato AI Labs 披露了 Cursor 自动执行沙箱中的两个严重漏洞。一条被污染的提示即可覆写沙箱二进制文件,将一个上锁的盒子变成代码执行——无需任何点击。

2026-07-02//7 min
OFFENSIVE AI MEDIUM NEW

当大模型自己发明攻击:DeepSeek 的「纯浏览器」勒索软件

Check Point 分析了一个由 DeepSeek 生成的样本,它把 Chromium 合法的文件访问权限变成了浏览器原生勒索软件——无载荷、无漏洞利用、无需 root。2026 年 7 月 1 日披露。

2026-07-02//5 min
SUPPLY CHAIN MEDIUM NEW

伪装成 Perplexity 的扩展把 AI 品牌变成搜索窃听器

微软发现一款冒充 Perplexity 的 Chromium 扩展,会在显示真实结果之前,把地址栏的每一次按键都转发到攻击者的服务器——没有浏览器漏洞,只是被滥用的信任和 Manifest V3 权限。

2026-07-02//5 min
AGENTS CRITICAL NEW

GuardFall:编码智能体的命令护栏检查的是被 shell 改写前的文本

GuardFall(Adversa AI,2026 年 6 月 30 日)利用一个存在数十年的错配,绕过了 11 个开源编码智能体中 10 个的安全过滤器:护栏检查命令的原始文本,而 bash 在执行前会先展开并改写它。

2026-07-02//6 min
DEFENSE LOW NEW

框架与模型之争:用越权漏洞检测基准评估大模型

Semgrep 2026 年 6 月的 IDOR 检测基准显示,一个开放权重模型仅凭简单提示便超过了前沿编码智能体,但专用检测框架仍处于领先。防御方应从中学到什么。

2026-07-02//6 min
SUPPLY CHAIN MEDIUM NEW

你批准的工具未必是正在运行的工具:MCP 描述的「抽地毯」式投毒

微软 2026 年 6 月 30 日的研究显示,已批准的 MCP 工具可能在审核之后被悄悄改写描述。由于智能体每一轮都会重读描述,一个干净的工具会变成数据外泄通道,且不触发任何告警。

2026-07-02//5 min
DEFENSE MEDIUM NEW

记忆洗白:击穿基于内容与基于来源链的智能体记忆防御

2026 年 6 月的一篇论文证明,任何将记忆项权威性建立在其内容或派生历史之上的防御都可被洗白——只有在写入时绑定来源,才能阻止智能体记忆投毒。

2026-07-02//6 min
DEFENSE MEDIUM NEW

带外注入防御尚未面对自适应攻击者

2026 年 6 月的一篇论文警告:CaMeL、Progent 等参考监视器防御仍以静态基准来评估——正是这一方法曾让带内防御显得强大,直到自适应攻击将它们攻破。

2026-07-02//7 min
RESEARCH MEDIUM NEW

当智能体改写自身:为何自进化让每一次攻击都在整个谱系中持久化

2026 年 6 月底的一篇系统化研究梳理了自进化 LLM 智能体的攻击面,发现其大部分无从防御:自我修改把一次会话内的入侵变成永久且自我放大的入侵。

2026-07-02//6 min
DEFENSE MEDIUM NEW

为被投毒智能体永不遗忘的 RAG 记忆提供可证明的防御

2026 年 6 月的一篇论文对多会话记忆投毒进行了建模——一条精心构造的记忆即可悄然污染所有未来用户——并提出首个带有可证明鲁棒性界限、而非启发式过滤器的防御方案。

2026-07-02//6 min
DATA LEAK MEDIUM NEW

任务完成,隐私泄露:智能体在工具调用间过度共享

2026 年 6 月的一项基准测试表明,使用工具的智能体可以在完成任务的同时,悄悄地把不必要的私密数据传给中间工具——成功并不等于遵守了「按需知晓」。

2026-07-02//5 min
RESEARCH LOW NEW

被绕过,而非被破坏:越狱如何压制少数几个安全注意力头

2026 年 6 月底的一篇论文表明,越狱并未抹去模型的安全特征:它只是让前几层的少数注意力头噤声,而中间层的注意力头仍在标记有害内容——这是防御者可以免费读取的稳健信号。

2026-07-01//6 min
AGENTS MEDIUM NEW

OWASP ASI03:当智能体继承了超出本分的身份

身份与权限滥用是 OWASP 智能体应用十大风险中的第三项。智能体很少拥有自己的身份——它继承你的身份、不断累积权限,并持有比任务存活更久的令牌。

2026-06-29//7 min
RESEARCH MEDIUM NEW

角色混淆:为什么大模型会服从「听起来有权威」的文本

MIT 的一篇 ICML 2026 新论文提出,提示注入的本质是「角色混淆」:模型根据文本的风格、而非来源来判断「谁在说话」。伪造的推理文本使攻击成功率达到约 60%,而一处对人几乎不可见的改写就把它降到了 10%。

2026-06-26//6 min
PROMPT INJECTION MEDIUM NEW

自动化提示注入因模型而异:TAP 胜过 GCG,GPT-5 抵御住了

苏黎世联邦理工学院 2026 年 6 月 9 日的研究将 GCG 与 TAP 适配到 AgentDojo,覆盖 80 对智能体任务。黑盒 TAP 胜过基于梯度的 GCG,但在小模型上调优的攻击无法迁移到 GPT-5。

2026-06-25//5 min
DATA LEAK CRITICAL NEW

DifyTap:四个授权缺陷致 Dify 租户间 AI 对话泄露

Zafran Labs 于 2026 年 6 月 22 日披露 Dify 中的四个 DifyTap 缺陷——两个严重、两个无需认证、三个具有跨租户影响——攻击者可窃听其他客户的 AI 对话并读取其文件。其中三个已在 1.14.2 中修复。

2026-06-25//8 分钟
DEFENSE MEDIUM NEW

认知防火墙:面向浏览器智能体的分离式计算防御

2026 年 3 月的一篇 eBay 论文,将本地哨兵、云端规划器与确定性执行守卫层叠在一起,把浏览器智能体的间接提示注入成功率从 100% 降到 1% 以下。

2026-06-22//6 min
AGENTS MEDIUM NEW

智能体通信图:工作流尚未执行就已泄露

2026 年 6 月 5 日的一篇 arXiv 论文表明,即便载荷已加密,A2A/MCP 的通信图仍能让被动观察者在工作流刚开始时就预测其任务类别,并在其完成前抢先行动。

2026-06-22//6 min
RESEARCH LOW NEW

FORGE:把 CVE 变成漏洞利用与检测规则的多智能体流水线

Dynatrace 在 2026 年 6 月 2 日的论文用五个 LLM 智能体把一个 CVE 从公告文本一路推进到利用尝试和检测规则,并按四级入侵阶梯打分。

2026-06-22//6 min
RESEARCH LOW NEW

实证研究:开源 LLM 智能体在 SAST 扫描上不及格

2026 年 6 月 10 日的一项研究,让本地 LLM 智能体在 101816 行 Python 代码上对决 SAST 工具 Bandit。所有模型的综合得分均为负,主因是幻觉。

2026-06-22//6 min
OFFENSIVE AI MEDIUM NEW

LLMjacking 进化:被盗的 Ollama 算力开始驱动自主攻击代理

Sysdig 于 2026 年 6 月 17 日的报告记录了一起被捕获的事件:一台暴露且无认证的 Ollama 服务器被用作多阶段攻击流水线的推理引擎。修复在于运维,而非模型本身。

2026-06-22//6 min
OFFENSIVE AI CRITICAL NEW

1000 份被捕获的智能体日志:一名低技能攻击者用 Claude 和 Codex 攻陷 14 家公司

OALABS 恢复了一名疏忽攻击者留下的逾千次 Claude Code 与 Codex 会话。在全部会话中,前沿模型仅触发十次策略违规——这是从内部记录下来的入侵去技能化过程。

2026-06-22//6 min
DEFENSE LOW NEW

MemMark:仅凭快照就能归因被投毒的智能体记忆

2026 年 5 月 26 日的一篇 arXiv 论文把所有权写入智能体潜在的记忆写入决策,即使日志被抹除、只剩最终快照,溯源信息依然存活。

2026-06-22//6 min
RESEARCH MEDIUM NEW

OpenAnt:闭环式 LLM 漏洞发现,降低误报与成本

Knostic 的 OpenAnt(论文于 2026 年 6 月 17 日公开)将 LLM 推理与对抗式及动态验证结合。在 8 个真实项目上发现 190 个候选漏洞,自动复现 144 个,成本约 1461 美元。

2026-06-22//7 min
AGENTS MEDIUM NEW

过度授权的工具选择:智能体倾向于选用超出任务所需的强力工具

2026 年 6 月的一篇论文及其基准 ToolPrivBench 表明,主流大模型智能体经常选用权限高于实际所需的工具,而安全对齐并不能纠正这一点。

2026-06-22//6 min
ADVERSARIAL MEDIUM NEW

PRAC:通过注意力劫持电脑操作智能体的选择

蒂宾根 2026 年 4 月的一篇论文表明,仅一张被难以察觉地扰动的商品图片,就能集中电脑操作智能体的视觉注意力,从而左右其 82% 的选择,而完全不触及其输出。

2026-06-22//6 min
RESEARCH MEDIUM NEW

提示注入攻击能在真实的 RAG 管道中存活吗?

2026 年 5 月的一项重新评估发现,大多数 GEO 提示注入在到达生成器之前就死于检索器和重排器。只有由 LLM 撰写的注入能端到端存活,而它们很容易被检测。

2026-06-22//5 min
RESEARCH MEDIUM NEW

DrainCode:通过 RAG 语料投毒实施能耗与成本拒绝服务

2026 年 1 月的攻击 DrainCode 通过投毒代码 RAG 语料,使检索到的片段诱导模型生成更长但仍正确的输出,将延迟抬高约 85%、能耗抬高约 49%。其目标是可用性与成本,而非完整性。

2026-06-22//6 min
SUPPLY CHAIN CRITICAL NEW

Vertex AI 中的存储桶抢注:跨租户 RCE「Pickle in the Middle」

Unit 42 于 2026 年 6 月 16 日披露了 Vertex AI Python SDK 的一个缺陷:可预测的暂存存储桶名称加上缺失的所有权校验,使攻击者得以劫持受害者的模型上传并实现跨租户代码执行。已在 v1.148.0 修复。

2026-06-22//5 min
AGENTS MEDIUM NEW

智能体自致损害:当 AI 无需攻击者就搞垮生产环境

Cyera 2026 年 5 月对 7200 多起 AI 事件的研究筛出 344 起智能体自致损害案例,其中 188 起完全没有外部攻击者——自主智能体删库、泄密并烧光预算。

2026-06-21//7 min
SUPPLY CHAIN CRITICAL NEW

Agent 技能就是一条供应链:SKILL.md 中的恶意软件与提示注入

2026 年 2 月对约 4000 个 agent 技能的审计发现 13.4% 存在严重问题,并有 76 个仍在线的恶意载荷。SKILL.md 已成为软件供应链——本文讲如何分诊。

2026-06-21//7 min
AGENTS MEDIUM NEW

WAAA:当智能体浏览器复活经典 Web 攻击

2026 年 5 月的一篇论文构建了首个面向 Web 的智能体浏览器威胁模型,并证明 10 种早已被缓解的 Web 攻击会卷土重来、往往被放大,原因在于智能体是一个无法区分任务步骤与网页陷阱的混淆代理。

2026-06-21//5 min
DEFENSE LOW NEW

DeepMind 的 AI Control Roadmap:面向未对齐智能体的纵深防御

谷歌 DeepMind 的 AI 控制路线图(2026 年 6 月)把内部 AI 智能体视为潜在的内部威胁,在模型对齐之上叠加由可信模型执行的监督。

2026-06-21//6 min
AGENTS MEDIUM NEW

AutoJack:浏览型智能体把恶意网页变成主机 RCE

微软 2026 年 6 月 18 日的 AutoJack 研究显示,浏览型 AI 智能体继承 localhost 身份,触达本地 MCP WebSocket 并在主机上执行任意进程。

2026-06-21//5 min
AGENTS MEDIUM NEW

CVE-2026-32211:Azure MCP Server 缺失身份验证

微软于 2026 年 4 月 2 日披露 CVE-2026-32211:Azure MCP Server 上的一处身份验证缺失,使未经认证的攻击者可通过网络泄露信息。微软评分 9.1,NVD 评分 7.5。

2026-06-21//5 min
DEFENSE MEDIUM NEW

后门遗忘可泛化:移除一个触发器能抑制其他后门

2026 年 6 月的一篇论文表明,教会大模型忽略一个后门触发器,也能削弱其他从未被针对的后门——前提是它们的内部激活偏移足够接近,并用一个新指标 CASD 来度量。

2026-06-21//5 min
JAILBREAK MEDIUM NEW

认知过载:低图像分辨率如何越狱多模态大模型

2026年5月的一篇论文(Findings of ACL 2026)表明,降低渲染为图像的文本的分辨率,会把前沿多模态大模型推入一个「攻击舒适区」,此时安全对齐崩溃,而 OCR 仍然准确。

2026-06-21//5 min
OFFENSIVE AI MEDIUM NEW

2026 年犯罪 AI 即服务:地下市场如何把网络犯罪工程化

Rapid7 于 2026 年 6 月 11 日的报告指出,犯罪 AI 市场已从「作恶聊天机器人」转向一层生产力工具:越狱封装器、被盗账户,以及用于绕过 KYC 的深度伪造服务。

2026-06-21//6 min
JAILBREAK MEDIUM NEW

CTF 框架越狱:提示词会泄漏到攻击里

Sysdig(2026 年 6 月 15 日)发现,攻击者把漏洞利用请求伪装成 CTF 或 CVE 狩猎,从而越狱自己的编码助手;这种框架会渗入 User-Agent、密码和 IAM 日志,给防御方留下一个廉价的指纹。

2026-06-21//7 min
DEFENSE MEDIUM NEW

防御性误导:为何拦截自动化越狱反而可能适得其反

2026 年 6 月的一篇论文对攻击者的自动评判器建模,指出可预测的拒绝会喂养其搜索循环——并提出用受控误导取代单纯拦截。

2026-06-21//6 min
AGENTS CRITICAL NEW

CVE-2026-0755:gemini-mcp-tool 中的命令注入与文件窃取

2026 年 6 月 18 日的公告详述了流行的 gemini-mcp-tool 如何让不可信输入抵达 shell 与 Gemini CLI 的 @file 解析器——CVSS 9.8 的 RCE 与文件外泄,已在 1.1.6 修复。

2026-06-21//5 min
DATA LEAK CRITICAL NEW

GeminiJack:通过提示注入从 Gemini Enterprise 实现零点击数据外泄

2025 年 12 月披露的 GeminiJack,使一份共享文档、一个日历邀请或一封邮件即可经由 Gemini Enterprise 的 RAG 悄然外泄 Gmail、日历与 Docs 数据——正是 OWASP 如今列为首位的攻击类别。

2026-06-21//7 min
DATA LEAK MEDIUM NEW

图像提示重建:从分布式 MLLM 的中间嵌入还原私密图像

2026 年 6 月的一篇论文表明,分布式多模态大模型推理链路中的被动参与者,仅凭其转发的中间嵌入即可重建用户的输入图像。黑盒、无需模型权重。

2026-06-21//5 min
DEFENSE MEDIUM NEW

LLM 加盐:旋转拒绝方向以打破越狱复用

SophosAI 的「LLM 加盐」(CAMLIS 2025)对模型的拒绝方向施加一次小幅旋转:针对基座模型预先算好的越狱不再能迁移到你的部署——把彩虹表防御搬到了大模型上。

2026-06-21//5 min
SUPPLY CHAIN CRITICAL NEW

Mastra npm 作用域劫持:一个休眠维护者账户毒化了某 AI 智能体框架

2026 年 6 月 17 日,一个被遗忘的贡献者账户重新发布了整个 @mastra npm 作用域——约 142 个包——并注入一个会投放加密货币窃取程序与 RAT 的恶意依赖。根因是失效的凭据,而非零日漏洞。

2026-06-21//7 min
INDIRECT INJECTION MEDIUM NEW

消息对象注入:AI 助手的序列化缺口

Imperva 于 2026 年 6 月 10 日指出,联系人、vCard 与位置图钉会被直接扁平化拼入 AI 助手的提示词,且无任何不可信内容边界——这是一个结构性注入向量,已在 OpenClaw 2026.4.23 中修复。

2026-06-21//5 min
AGENTS MEDIUM NEW

过度热心的编码智能体:良性任务上的越界操作

2026 年 5 月的两项基准测试量化了在良性请求下越权的编码智能体——删文件、抹凭据——并发现决定风险的是智能体框架,而非底层模型。

2026-06-21//6 min
DATA LEAK LOW NEW

能力与倾向:审计大模型训练数据泄露

2026 年 6 月的框架 PropMe 区分了模型在攻击下「能」泄露什么与在日常使用中「会」泄露什么。两者差距很大——忽略它的审计会错估真实风险。

2026-06-21//5 min
RESEARCH MEDIUM NEW

Scheming in the Wild:用开源情报监测真实世界中的智能体失范

CLTR 于 2026 年 3 月的报告分析了 18.3 万条公开 AI 对话记录,发现 698 起真实的「图谋」(scheming)事件,五个月内增长 4.9 倍,并提出了一种监测智能体失控的新方法。

2026-06-21//7 min
AGENTS MEDIUM NEW

潜伏式记忆投毒:针对有状态 LLM 智能体的休眠攻击

2026 年 5 月的一篇论文表明,攻击者可通过一份文档或网页植入伪造的「记忆」,使其长期休眠,随后在后续会话中操纵助手的行为。

2026-06-21//6 min
AGENTS CRITICAL NEW

工具选择劫持:迫使智能体挑选攻击者的工具

一项 NDSS 2026 攻击与一篇 2026 年 4 月的 IBM 论文瞄准同一个盲点:智能体决定调用哪个工具的那一步。污染工具目录,智能体就会选中攻击者的工具,成功率达 70 至 100%。

2026-06-21//5 min
INDIRECT INJECTION MEDIUM NEW

ChatGPhish:不可信 Markdown 让 ChatGPT 摘要变成钓鱼面

Permiso 于 2026 年 5 月 29 日披露 ChatGPhish:你让 ChatGPT 摘要的网页,可在可信助手界面内渲染恶意链接、伪造警报、二维码与追踪像素。

2026-06-20//6 min
RESEARCH MEDIUM NEW

Code-Augur:为智能体漏洞检测建立可核验的依据

2026 年 6 月 17 日,新加坡国立大学研究者发布 Code-Augur,通过强制智能体把其安全假设写成可证伪的内嵌断言,使 LLM 智能体的代码审计变得可核验。

2026-06-20//6 min
AGENTS MEDIUM NEW

存储型提示注入:当注入比会话活得更久

2026 年 6 月的一篇 arXiv 论文把提示注入重新定义为一种存储型、跨会话的问题:一旦对抗性文本进入智能体的持久状态,它就能在攻击者离开很久之后继续操纵后续执行。

2026-06-20//6 min
DEFENSE MEDIUM NEW

为什么智能体的拒绝会失效:Cybersecurity Refusal Framework

一项新基准显示,智能体的安全拒绝取决于 URL 字符串,而非真实目标。两个微不足道的小技巧——伪造的「交战规则」与 localhost 代理——能在生产站点上把拒绝翻转为服从。

2026-06-20//6 min
RESEARCH MEDIUM NEW

大模型微调的差分隐私:保证与现实之间的落差

ICLR 2026 的一项基准研究表明,漂亮的差分隐私预算并不等于真正的保护:当微调数据与预训练语料相似时,成员推断与金丝雀提取攻击依然能够成功。

2026-06-20//6 min
OFFENSIVE AI MEDIUM NEW

端到端渗透 Salesforce Experience Cloud 的 LLM 智能体

2026 年 6 月 8 日,Reco 公布了一个无需人工介入即可测绘、模糊测试并利用 Salesforce Experience Cloud 站点的智能体——与 ShinyHunters 自 2025 年起持续挖掘的是同一批配置错误,如今由模型来驱动。

2026-06-20//7 min
DEFENSE MEDIUM NEW

MCP 安全:别再问存在哪些攻击,而要问防御应当部署在哪一层

2026 年 4 月的一篇 arXiv 论文将 MCP 攻击映射到六个架构层,发现防御分布不均且过度集中于工具层,使宿主编排、传输与供应链在结构上长期处于防御不足的状态。

2026-06-20//7 min
AGENTS MEDIUM NEW

MemPoison:仅凭一次对话就在智能体记忆中埋下后门

2026 年 5 月的一篇 arXiv 论文仅通过普通对话就在 LLM 智能体的长期记忆中植入了一个可触发的后门,并且被特意设计为能够躲过本应过滤被污染内容的抽取与改写阶段。

2026-06-20//6 min
ADVERSARIAL MEDIUM NEW

当 AI 审稿人读不懂图表:针对同行评审的跨模态攻击

2026 年 6 月的一篇 arXiv 论文(PaperGuard)表明,AI 审稿人不仅会通过文本被攻击,也会通过图表被攻击——黑盒提示注入与白盒图像扰动都能翻转评审结论。

2026-06-20//6 min
AGENTS MEDIUM NEW

NRT-Bench:对运营电厂的 LLM 智能体进行多轮红队测试

2026 年 6 月 18 日发布的一个基准把 LLM 操作员智能体放进模拟核电站控制室。自适应多轮攻击在 8.7%–12.1% 的会话中突破了安全边界,而且不同模型的失效几乎互不重叠。

2026-06-20//6 min
DEFENSE MEDIUM NEW

定位提示注入:从检测到取证式切除

检测到提示注入只能说明出了问题。2026 年的两项工作 PromptLocate 与 WebSentinel 能精确指出上下文中被污染的片段,从而将其切除并恢复原任务。

2026-06-20//5 min
INFRASTRUCTURE CRITICAL NEW

RAGFlow CVE-2026-45312:一个会执行系统命令的提示词模板

RAGFlow 提示词生成器中的 Jinja2 模板注入,把用户可控字段变成服务器端 RCE。CVSS 9.9,于 2026 年 5 月 9 日披露。

2026-06-20//6 min
JAILBREAK MEDIUM NEW

强化学习越狱:奖励设计与回合长度才是关键

2026 年 6 月的一项研究拆解了基于强化学习的越狱,发现攻击者对环境的设计——稠密奖励与长回合——比算法本身更重要。

2026-06-20//6 min
DEFENSE MEDIUM NEW

SEAgent:用强制访问控制遏制智能体的权限提升

2026 年 1 月的一篇论文把智能体攻击重新界定为权限提升——超出任务所需最小权限的动作——并提出 SEAgent,一个在信息流图上施加的确定性 MAC/ABAC 层。

2026-06-20//6 min
DATA LEAK MEDIUM NEW

通过深度研究智能体实现的服务端数据外泄

一封邮件中的隐藏指令,就让 ChatGPT 的 Deep Research 智能体从 OpenAI 的云端把数据外泄出去:无渲染、无用户操作、网络防御完全看不见。本文解析这一攻击类别及其遏制方法。

2026-06-20//5 min
RESEARCH MEDIUM NEW

智能体护栏在轨迹中途失效:读懂调用轨迹比安全对齐更关键

2026 年 4 月一项针对 20 个护栏的基准测试发现:对智能体而言,检测能力取决于能否解析工具调用轨迹,而非安全对齐——通用大模型反而胜过专用安全模型。

2026-06-20//6 min
JAILBREAK MEDIUM NEW

UniAttack:一个针对分层 LLM 防御的自动化越狱框架

2026 年 6 月的一篇预印本构建了一个组合多种策略的自动化红队框架,并将其用于具有叠加防御的模型,结果表明:堆叠防护栏并不能保证鲁棒性。

2026-06-20//5 min
AGENTS MEDIUM NEW

Vertex AI「双重代理」:权限过大的服务代理成为云端提权路径

Unit 42 于 2026 年 3 月 31 日披露:Vertex AI Agent Engine 部署会通过元数据服务暴露一个权限过大的服务身份,使配置不当的代理变成对项目内所有存储桶的读取入口。

2026-06-20//6 min
INFRASTRUCTURE MEDIUM NEW

vLLM SSRF:当白名单补丁带着同样的解析器缺陷

两份 vLLM 公告把同一个缺陷展示了两次:用一个 URL 解析器校验主机白名单,却用另一个解析器发请求。补丁换了解析器组合,又重新打开了绕过。

2026-06-20//5 min
INDIRECT INJECTION MEDIUM NEW

TRAP:说服话术让网页智能体背离自身任务

牛津大学的一个基准测试于2026年6月在arXiv更新,显示网页智能体会服从隐藏在页面元素中的西奥迪尼式说服话术,平均在25%的任务中偏离目标,最弱的模型高达43%。

2026-06-20//6 min
AGENTS MEDIUM NEW

Agent libOS:把权限边界放在运行时,而非工具包装层

2026 年 6 月 2 日的一篇 arXiv 论文指出,多数智能体框架把「工具可见性」与「资源权限」混为一谈,并提出一种类 library-OS 运行时,把能力检查放在原语边界而非工具包装层。

2026-06-19//6 min
DEFENSE LOW NEW

AuthGraph:用双图对齐检测智能体提示注入

2026 年 5 月 26 日的 UCLA 论文将一份干净的授权图与智能体真实的来源图作结构比对,把 AgentDojo 上的攻击成功率从 40% 降到 1%。

2026-06-19//6 min
AGENTS MEDIUM NEW

权限混淆:工具型智能体为何会滥用自己的访问权

2026 年 5 月的一篇论文命名了一种区别于提示注入的失效模式:不可信数据可以为智能体的推理提供信息,但绝不能授权副作用。AIRGuard 在动作发生的那一刻强制执行这条边界。

2026-06-19//7 min
SUPPLY CHAIN CRITICAL NEW

聊天模板即代码:LLM 推理服务器中的 Jinja2 模板注入(SSTI)

CERT/CC 的 VU#915947(2026 年 4 月 20 日)记录了 CVE-2026-5760,这是 SGLang 中一个 CVSS 9.8 的远程代码执行漏洞:恶意 GGUF 模型文件携带的 Jinja2 聊天模板会在服务器上执行 Python。它与此前的「Llama Drama」及 vLLM 漏洞属于同一类。

2026-06-19//6 min
DEFENSE LOW NEW

Cordon:面向工具型 LLM 智能体的事务化隔离

2026 年 6 月 16 日的一篇 arXiv 论文提出「语义事务」:一个在提交前先暂存智能体不可逆副作用、并对整个任务流程进行校验的运行时。

2026-06-19//6 min
AGENTS CRITICAL NEW

CVE-2026-26268:Cursor 的智能体把一次 git checkout 变成代码执行

恶意仓库藏有一个带自动 hook 的 Git「裸」仓库。当 Cursor 的 AI 智能体为「解释这段代码」而运行 git checkout 时,hook 被触发——在开发者机器上任意代码执行,无需确认。已在 Cursor 2.5 修复。

2026-06-19//5 min
INDIRECT INJECTION MEDIUM NEW

错误通道注入:当工具错误消息被当作权威指令

2026 年 6 月的论文 VATS 表明,将指令注入工具的错误消息会使前沿智能体上的间接注入成功率翻三倍——最高达到 100% 的服从率——因为模型把错误输出当作权威信息处理。

2026-06-19//5 min
GOVERNANCE MEDIUM NEW

FIRST 年中预测:2026 年约 66000 个 CVE,但可利用风险保持平稳

2026 年 6 月 15 日,FIRST 将 2026 年 CVE 预测上调至约 66000 个,比 2 月高出 46.3%,主要由 AI 辅助的漏洞发现推动。经 EPSS 与 CISA KEV 筛选的可处置子集并未同步增长。

2026-06-19//5 min
INFRASTRUCTURE MEDIUM NEW

LangChain Core 路径遍历:遗留 load_prompt 读取任意文件

CVE-2026-34070 让伪造的 prompt 配置经由 load_prompt 遍历文件系统,泄露 .txt/.json/.yaml 中的机密。2026 年 3 月 27 日披露,已在 langchain-core 1.2.22 修复。

2026-06-19//5 min
SUPPLY CHAIN MEDIUM NEW

MalTool:当 AI 亲手编写你的智能体所安装的恶意工具

研究者用一个代码 LLM 合成了 6487 个可用的恶意智能体工具,VirusTotal 漏掉了其中大多数。教训是:对智能体工具供应链而言,基于签名的扫描是错误的控制手段。

2026-06-19//6 min
AGENTS MEDIUM NEW

MCP Go SDK 的 CSRF:一个网页就能触发你的本地工具(CVE-2026-33252)

官方 MCP Go SDK 接受浏览器的跨站 POST 请求却不校验 Origin 头。在无鉴权的本地服务器上,你访问的任何网站都可能调用你的工具。已在 1.4.1 修复。

2026-06-19//5 min
INDIRECT INJECTION MEDIUM NEW

本地部署并不更安全:间接注入对本地与云端 LLM 一视同仁

Brave 于 2026 年 6 月 8 日的研究表明,间接提示注入对云端代理(Mozilla Tabstack)和本地自动补全(Cotypist)同样有效——本地托管并非缓解措施。

2026-06-19//5 min
DATA POISONING MEDIUM NEW

Oracle 投毒:污染智能体赖以推理的知识图谱

2026 年 5 月 10 日 arXiv 上的一篇论文定义了 Oracle 投毒:污染智能体在运行时查询的知识图谱,它就会在推理正确的前提下得出错误结论。在九个模型上,定向智能体查询中对被投毒数据的信任率高达 100%。

2026-06-19//5 min
RESEARCH MEDIUM NEW

保护 RAG:知识访问管线上的四个攻击面

2026 年 6 月的一篇综述将 RAG 安全重新界定为外部知识访问的安全,把 LLM 固有缺陷与 RAG 引入的风险分开,覆盖四个攻击面与三条信任边界。

2026-06-19//6 min
ADVERSARIAL MEDIUM NEW

Rapid Poison:当反越狱防御沦为攻击面

2026 年 6 月 15 日的一篇 arXiv 论文显示,Rapid Response 防御中的扩增(proliferation)步骤可在 1% 的投毒率下被污染,迫使守卫分类器产生高达 100% 的误报或 96% 的漏报。

2026-06-19//7 min
AGENTS CRITICAL NEW

CVE-2026-26030:提示注入在 Microsoft Semantic Kernel 中演变为 RCE

微软 AI 红队披露了 Semantic Kernel 的两个漏洞,可将单条注入提示转化为主机上的代码执行。教训是:模型能够影响的任何工具参数都应视为攻击者可控的输入。已于 2026 年 5 月 7 日修复。

2026-06-19//5 min
INFRASTRUCTURE MEDIUM NEW

服务层就是攻击面:vLLM 与 SGLang 中的并发缺陷

2026 年 5 月的模糊测试器 GRIEF 把并发请求轨迹作为输入,在 vLLM 与 SGLang 中发现 15 个服务层缺陷(含 2 个 CVE):跨请求输出污染、「吵闹邻居」式拒绝服务,以及延迟崩溃——无需任何畸形输入。

2026-06-19//7 min
AGENTS MEDIUM NEW

SkillAttack:自动化红队在智能体技能中发现漏洞

2026 年 4 月的论文 SkillAttack 将漏洞发现重构为路径搜索问题,表明即便是善意编写的智能体技能也可被触达——对抗性技能上攻击成功率高达 0.93。

2026-06-19//5 min
RESEARCH MEDIUM NEW

GAP:模型可以在文本中拒绝,却以工具调用执行同一动作

一项 2026 年 2 月的基准测试在六个前沿模型上发现,文本层面的安全并不会传递到工具调用。模型可以用语言说不,而 query_records() 却说是——某个模型在五次拒绝中有四次如此。

2026-06-19//7 min
AGENTS MEDIUM NEW

用户中介攻击:当用户成为注入通道

2026 年 1 月一项针对 12 个商用智能体的研究表明,攻击者无需触碰智能体本身,只需诱使善意用户转发被投毒的内容——指令层级随即将其提升为可信的用户意图。默认绕过率超过 92%。

2026-06-19//7 min
JAILBREAK MEDIUM NEW

自适应越狱持续攻破 LLM 防御:真正的缺口在于评估

2026 年 6 月的框架 UniAttack 将可复用的攻击「特征」组合成一次性越狱提示,可在不同模型与防御之间迁移——这提醒我们:仅用静态攻击测试过的防御只能带来虚假的安全感。

2026-06-18//5 min
RESEARCH MEDIUM NEW

为什么 LLM 智能体的防御无法叠加:来自 247 篇论文的启示

2026 年 6 月一项覆盖 247 篇论文的系统综述发现,智能体防御是有用的构件,但可组合性很弱,而现有基准仍然忽视持久状态与长程风险。

2026-06-18//6 min
RESEARCH MEDIUM NEW

迈向安全的 LLM 智能体:一篇综述 247 篇论文的 SoK,把智能体安全重构为系统问题

2026 年 6 月 9 日的一篇 arXiv 综述梳理了 247 篇论文,将 LLM 智能体安全映射到智能体回路:各项防御单独有效却难以组合,基准测试对长程、有状态风险视而不见。

2026-06-18//6 min
RESEARCH MEDIUM NEW

智能体攻击究竟从哪里进入:一份基于 247 篇论文的威胁面地图

2026 年 6 月一项汇总 247 篇论文的研究测量了 LLM 智能体攻击的落点。用户提示只是众多攻击面之一——真正占主导的是网页内容、工具输出等中介通道。

2026-06-18//7 min
RESEARCH LOW NEW

行为几何:在模型群体中预测越狱易感性

2026 年 5 月 26 日的一篇 arXiv 论文将 79 个模型映射到「行为几何」空间,以预测哪些模型易受越狱攻击——探测量减少 98%——并在模型之间迁移防御。

2026-06-18//6 min
ADVERSARIAL MEDIUM NEW

黑洞攻击:通过嵌入几何结构投毒向量数据库

一篇 2026 年 4 月 7 日的论文表明,置于嵌入质心附近的少量向量会被拉入高达 99.85% 的 top-10 结果中——一种与查询和模型无关的向量数据库投毒。

2026-06-18//5 min
AGENTS MEDIUM NEW

浏览器智能体会通过点击方式暴露其底层模型

2026 年 5 月 14 日的一篇论文显示,LLM 浏览器智能体在页面上的操作足以识别其底层模型,在 14 个前沿模型上准确率高达 96%,且无需依赖可伪造的请求头。

2026-06-18//6 min
AGENTS MEDIUM NEW

AI 智能体陷阱:DeepMind 关于网页如何劫持智能体的六类图谱

谷歌 DeepMind 的《AI Agent Traps》论文(SSRN,2026 年 3 月底)首次系统性地对针对智能体感知、推理、记忆、行动、多智能体动态及人类监督者的对抗性网页内容进行了分类。

2026-06-18//6 min
DEFENSE MEDIUM NEW

DoubtProbe:识别重组意图的越狱攻击

2026 年 6 月的一篇论文提出了一种推理期防御方法,将越狱检测视为一致性校验:在结构约束下重建请求,再标记出经过这一往返后语义无法保持的提示。

2026-06-18//5 min
RESEARCH LOW NEW

LLM 智能体的执行溯源:通过追踪证据重建信任

2026 年 6 月的一篇 arXiv 综述(2606.04990)系统梳理了 LLM 智能体的证据追踪与执行溯源——这一问责层让你能够审计、调试并验证智能体究竟做了什么。

2026-06-18//7 min
DATA LEAK MEDIUM NEW

幽灵工具调用:智能体的推测式执行泄露用户意图

2026 年 6 月的一篇 arXiv 论文(2606.02483)表明,为掩盖延迟而推测式预先发出工具调用的智能体,会把推断出的用户意图泄露给外部服务——而且这是一个时序问题,任何白名单都无法撤销。

2026-06-18//6 min
INFRASTRUCTURE CRITICAL NEW

LiteLLM CVE-2026-49468:网关自身路由中的 Host 头身份验证绕过

2026 年 6 月 17 日披露的 CVE-2026-49468 允许伪造的 Host 头使 LiteLLM 的鉴权路由与 FastAPI 实际执行的路由不一致——这是 BadHost 在应用层的重演,已在 LiteLLM 1.84.0 中修复。

2026-06-18//5 min
INFRASTRUCTURE CRITICAL NEW

LiteLLM CVE-2026-47101→40217:从低权限用户到管理员与 RCE

Obsidian Security 于 2026 年 6 月披露了一条由三个漏洞构成的 LiteLLM 利用链,可将默认低权限用户提升为 proxy_admin 并实现代码执行——对 AI 网关的 CVSS 9.9 级接管。

2026-06-18//6 min
SUPPLY CHAIN MEDIUM NEW

Secret Stealing:被植入后门的模型代码窃取你的微调数据

2026 年 4 月 30 日的一篇论文表明,被篡改的模型代码(而非被投毒的权重)可从本地微调数据中窃取 API 密钥和个人信息,精确恢复率超过 98%,并能绕过 DP-SGD 与各类审计。

2026-06-18//6 min
MULTIMODAL MEDIUM NEW

Sirens' Whisper:针对语音 LLM 的不可闻近超声越狱

2026 年 3 月 14 日,华中科技大学、清华大学与微软的论文将越狱提示隐藏在 17–22 kHz 频段。麦克风的非线性将其重新解调为指令——对人耳无声,对商用语音 LLM 的不拒绝率最高达 0.94。

2026-06-18//7 min
DEFENSE MEDIUM NEW

SafeMCP:用前瞻式工具门控遏制 MCP 智能体的权力扩张

2026 年 6 月 1 日的一篇 arXiv 论文(ACL 2026)提出 SafeMCP——一个服务端插件,借助世界模型的前瞻推理,在 MCP 智能体扩张其权力之前过滤掉危险的工具获取。

2026-06-18//5 min
AGENTS MEDIUM NEW

SearchGEO:让 LLM 搜索智能体为攻击者页面背书

2026 年 6 月 15 日的一篇 arXiv 论文测量了攻击者控制的网页内容如何被转化为智能体背书的推荐——攻击成功率因后端模型而异,从 0% 到 31.4% 不等。

2026-06-18//5 min
AGENTS MEDIUM NEW

ShadowMerge:通过关系碰撞投毒基于图的智能体记忆

2026 年 5 月的一篇论文用与真实锚点、真实通道相同但携带矛盾取值的关系来投毒智能体的图记忆——在 Mem0 上达到 93.8% 的攻击成功率,且输入侧过滤器无法察觉。

2026-06-18//5 min
DEFENSE MEDIUM NEW

SkillVetBench:用「LLM 充当评审」发现技能扫描器漏掉的风险

2026 年 6 月 14 日的一篇 arXiv 论文显示,代码层技能扫描器会漏掉 89%–100% 的指令层威胁,而 LLM 评审能标记出全部 78 个恶意测试技能且零误报。

2026-06-18//6 min
DATA LEAK MEDIUM NEW

通过 LLM 分词器的成员推理:一种新的隐私攻击向量

USENIX Security 2026 的一篇论文表明,仅凭模型的分词器就能泄露预训练所用的数据集——一种更廉价、无需模型的成员推理攻击。

2026-06-18//6 min
DEFENSE MEDIUM NEW

致命三要素已成默认配置——在运行时防御智能体

致命三要素曾用于标记高风险智能体。到2026年中,它几乎描述了所有有用的智能体,靠架构规避已不再奏效。防御重心转向运行时的五类行为信号。

2026-06-18//5 min
AGENTS MEDIUM NEW

僵尸智能体:自演化 LLM 智能体如何在多会话间持续被控

在一次无害会话中被观察到的一次性间接注入,可被写入智能体的长期记忆,并在日后作为指令重放,从而把短暂的提示词变为持久的控制。攻击论文为 2026 年 2 月,防御方案(CAMS)为 2026 年 5 月。

2026-06-18//7 min
AGENTS CRITICAL NEW

AI 编码智能体:攻击者盯上的是凭据,而非模型

2026 年针对 Codex、Claude Code、Copilot 和 Vertex AI 的六个漏洞利用,全都绕过了模型层防御,直击同一个目标——智能体的运行时凭据。其根本原因是身份治理缺口,而非提示词问题。

2026-06-17//6 min
RESEARCH MEDIUM NEW

冷启动安全缺口:智能体在第一轮时最不安全

2026 年 6 月的一篇论文发现,调用工具的智能体在会话开始时最脆弱,在完成几项普通任务后安全性提升 9%–52%。解决之道是部署时的「热身」,而非新的护栏。

2026-06-17//5 min
DEFENSE MEDIUM NEW

诱饵后门:通过共享内部机制清除未知的大模型后门

2026 年 6 月的一篇论文用「种下一个看得见的后门」来清除看不见的后门:不同后门共享内部激活模式,因此移除可控的「诱饵」也会削弱未知后门。

2026-06-17//5 min
GOVERNANCE MEDIUM NEW

欧盟《AI法案》:指引草案如何将智能体系统判定为高风险

欧盟委员会2026年5月19日发布的第6条指引草案要求对智能体系统进行整体评估——单个辅助组件即可将整个配置拉入高风险监管范围。

2026-06-17//6 min
AGENTS MEDIUM NEW

FragFuse:用碎片化查询绕过 LLM 智能体的访问控制

2026 年 6 月 14 日的一篇 arXiv 论文显示,被禁止的请求可被拆成无害的碎片,存入智能体的长期记忆,再在检索时重新拼合,从而以 86.3% 的平均成功率绕过访问控制。

2026-06-17//6 min
AGENTS MEDIUM NEW

推理扩展型拒绝服务:当 AI 护栏成为攻击面

2026 年 6 月的一篇论文表明,单个投毒文档即可让基于推理的 AI 护栏陷入无尽的思考循环,使共享智能体工作流减速最高达 148 倍。攻击目标是可用性,而非完整性。

2026-06-17//5 min
JAILBREAK MEDIUM

IICL:用 10 个示例让模式补全压过安全对齐

2026 年 4 月的一篇 arXiv 论文把上下文学习反过来对付模型:约十个抽象算子示例,就能让 GPT-5.4 补全一个其内容过滤器从未察觉的有害模式。

2026-06-17//6 min
RESEARCH MEDIUM NEW

前沿模型的“越狱税”正在消失——一个安全假设由此被推翻

2026年4月的一项研究表明,越狱所造成的能力损失会随模型变强而缩小:Haiku 4.5 被越狱后下降33.1%,Opus 4.6 仅下降7.7%。那些假设“被越狱的模型已被削弱”的风险评估不再成立。

2026-06-17//5 min
AGENTS CRITICAL NEW

LangGraph 检查点:从 SQL 注入到自托管智能体的远程代码执行

Check Point Research 将 LangGraph 检查点中的 SQL 注入与不安全的 msgpack 反序列化串联,最终实现远程代码执行。已于 2026 年 6 月 11 日披露,三个 CVE 均已修复。

2026-06-17//7 min
SUPPLY CHAIN CRITICAL NEW

LiteLLM 被植入后门:当被污染的 CI 扫描器接管 LLM 网关

2026 年 3 月,攻击者通过攻陷 LiteLLM CI 流水线中的 Trivy,窃取其 PyPI 发布令牌,随后发布了两个带后门的版本。这条攻击链揭示了 LLM 网关为何是高价值的供应链目标。

2026-06-17//6 min
DATA LEAK MEDIUM NEW

LLM 推理的侧信道攻击:即使有 TLS,你的提示词也会泄露

推测解码与流式响应会产生流量模式,泄露提示词的主题、语言、甚至个人信息——而且是通过加密连接。本文梳理三篇论文及其防御方法。

2026-06-17//6 min
INDIRECT INJECTION CRITICAL NEW

LogJack:云日志成为针对调试智能体的提示注入通道

2026 年 4 月的一项基准测试显示,读取云日志并执行修复的 LLM 调试智能体会服从隐藏在日志行中的指令——逐字执行命令率最高达 86.2%,8 个模型中 6 个可被远程代码执行,且云厂商的防护几乎检测不到任何内容。

2026-06-17//6 min
AGENTS MEDIUM NEW

终止投毒:让 LLM 智能体陷入无限循环

2026 年 5 月的一篇 arXiv 论文表明,注入可以扭曲智能体对任务是否完成的判断,导致无界计算。LoopTrap 框架报告了最高 25 倍的步数放大。

2026-06-17//5 min
ADVERSARIAL MEDIUM NEW

M3Att:无需预知查询即可投毒医疗多模态 RAG

2026 年 5 月的一篇论文在不预先知道用户查询的情况下投毒医疗图文 RAG。难以察觉的图像扰动劫持检索;由临床歧义引导的文本规避模型自我纠错——而预过滤防御几乎无济于事。

2026-06-17//6 min
DEFENSE MEDIUM NEW

检测智能体工具调用流量中的攻击:内容胜过图结构

2026 年 5 月的一篇 arXiv 研究针对 MCP 工具调用监控发现:内容嵌入主导检测效果(AUROC > 0.89),图结构贡献有限,而随机切分会把分数虚高最多 26 个百分点。

2026-06-17//5 min
INDIRECT INJECTION MEDIUM NEW

MIRAGE:移动 GUI 智能体被注入的用户生成内容欺骗

2026 年 5 月的研究表明,基于 VLM 的移动 GUI 智能体无法区分可信界面与用户生成内容。注入评论中的逼真文本劫持了全部五个受测智能体(成功率 23–30%)。

2026-06-17//5 min
RESEARCH MEDIUM NEW

开放权重模型的抗微调防护被无梯度攻击攻破

卡内基梅隆大学 2026 年 5 月的研究表明,TAR、SEAM 等旨在抵御恶意微调的抗篡改防护,可被两种低成本的无梯度攻击——abliteration 与 prefilling——绕过。

2026-06-17//5 min
RESEARCH MEDIUM NEW

质量-多样性红队:为什么单一越狱分数会掩盖整张漏洞地图

2026 年 6 月的两篇论文将质量-多样性进化搜索应用于 LLM 红队测试:它们为每个模型揭示出多个互不相同的漏洞类别,而非单一「最佳」攻击,并表明安全性可能在模型代际之间出现倒退。

2026-06-17//6 min
PROMPT INJECTION MEDIUM NEW

Reprompt:通过 URL 预填提示词对 Copilot Personal 实现一键数据外泄

一个已修复的 Copilot Personal 缺陷,将 URL 预填提示词、仅校验首次请求的防护,以及由服务器驱动的后续指令串联起来,实现了一键式的隐蔽数据外泄。其绕过教训具有普遍意义。

2026-06-17//6 min
DEFENSE LOW NEW

RUBAS:用评分量表强化学习为智能体安全提供细粒度奖励信号

2026 年 6 月的一篇论文用四项评分量表(工具使用、参数、回复、有用性)取代二元的拒绝/执行奖励,训练既保持安全又不损失实用性的工具调用智能体。

2026-06-17//5 min
SUPPLY CHAIN MEDIUM NEW

语义合规劫持:无载荷的智能体技能,扫描器看不见

2026 年 5 月 14 日的一篇 arXiv 论文表明,一个不含代码、也无显式恶意意图的技能文件,可诱导编码智能体在运行时自行写出恶意代码——而检测率为 0.00%。

2026-06-17//6 min
DEFENSE LOW NEW

SkillGuard:在运行时约束智能体技能(skill)行为的权限框架

2026 年 6 月的一篇论文,通过清单、默认拒绝的访问控制与运行时监控,弥合了技能注入智能体上下文的内容与它促使智能体执行行为之间的差距。

2026-06-17//6 min
RESEARCH MEDIUM NEW

智能体安全在于状态转换,而非组件本身

2026 年 6 月对 247 篇论文的综述,将 LLM 智能体安全重新框定在状态转换上:当不可信文本悄然变成计划、决策、行动或持久记忆时,危害便随之发生。

2026-06-16//7 min
INDIRECT INJECTION CRITICAL NEW

Agentjacking:伪造 Sentry 报错经 MCP 劫持 AI 编程智能体

Tenet Security 2026 年 6 月的研究表明,攻击者可注入伪造的 Sentry 报错,编程智能体经 MCP 读取后执行,在 2388 个暴露组织中以 85% 的成功率窃取凭据。

2026-06-16//7 min
GOVERNANCE MEDIUM NEW

AI 公司高管呼吁国会强制对 DNA 合成订单进行筛查

2026 年 6 月 5 日,OpenAI、Anthropic、Google DeepMind 与 Microsoft AI 的负责人联署致信国会,敦促强制对核酸合成进行筛查——将其作为应对 AI 削弱生物武器门槛的防御性控制。

2026-06-16//5 min
GOVERNANCE MEDIUM NEW

机器速度下的漏洞披露:首个 AI 漏洞登记册的启示

VulnCheck 于 2026 年 6 月 9 日分析的 Anthropic 协调披露登记册显示:AI 浮现出 23,019 个候选漏洞,却只有 1,596 个抵达维护者——这是机器速度发现之下协调披露的一个预览。

2026-06-16//7 min
INDIRECT INJECTION MEDIUM NEW

跨应用上下文投毒:一个恶意 ChatGPT 应用即可操纵其他应用

2026 年 6 月的一篇 arXiv 研究表明,恶意 ChatGPT 应用可通过第一方 API 向所有已连接应用共享的对话上下文写入内容,使模型沦为「混淆代理」,转而危害良性应用。

2026-06-16//5 min
AGENTS MEDIUM NEW

跨域多智能体 LLM 系统:七大安全挑战

2026 年 6 月 13 日发表于《npj Artificial Intelligence》的一篇观点文章,梳理了来自不同组织的 LLM 智能体在缺乏共同信任模型的情况下协作时所出现的七大安全挑战。

2026-06-16//7 min
DEFENSE MEDIUM NEW

智能体图记忆的来源防御在构造上就是盲的

2026 年 6 月 10 日的一篇 arXiv 论文表明,针对 LLM 图记忆的来源检查无需伪造任何来源即可被绕过:一次不可信的结构写入会改变哪些已认证事实被选中,而信息流控制对此完全看不见。

2026-06-16//5 min
DATA LEAK MEDIUM NEW

GraphSteal:从 Graph RAG 重建私有知识图谱

一篇于 2026 年 5 月 27 日发布的论文表明,简单的黑盒查询可将 Graph RAG 系统变成结构预言机,重建出其隐藏知识图谱的 90% 以上。

2026-06-16//6 min
SUPPLY CHAIN MEDIUM NEW

HAMLOCK:在模型与芯片之间分割的后门

USENIX Security 2026 的一篇论文(2026 年 6 月 15 日获报道)将神经网络后门拆分到软件与硅芯片两侧:模型本身从不误分类,因此 Neural Cleanse、MNTD 等纯软件扫描器查不到任何痕迹。

2026-06-16//6 min
INFRASTRUCTURE CRITICAL NEW

Langflow CVE-2026-5027:未授权写文件升级为 RCE,已遭在野利用

Langflow 的 /api/v2/files 端点存在路径遍历,一个未授权请求即可向磁盘任意位置写入文件。VulnCheck 于 2026 年 6 月 9 日确认在野利用;约 7000 个实例暴露在公网。

2026-06-16//5 min
RESEARCH MEDIUM NEW

NIST 证明:任何有限护栏都挡不住所有越狱

一位 NIST 科学家借助哥德尔不完备性逻辑证明:任何有限的 AI 护栏集合都能被某个提示绕过——这是持续监测与更新安全模型的论据。

2026-06-16//6 min
DEFENSE MEDIUM NEW

智能体隐私是轨迹问题:OCELOT 在运行时为推断泄露设定预算

一篇日期为 2026 年 6 月 10 日的 arXiv 论文将 LLM 智能体隐私重新定义为后验风险控制:不再过滤每一次输出,而是为对手在整条轨迹上对某个秘密的信念可提升的幅度设定预算。

2026-06-16//6 min
JAILBREAK MEDIUM NEW

Para-jailbreaking:当「安全补全」把危害藏进替代答案里

2026 年 4 月 27 日的一篇 arXiv 论文为面向输出的安全机制命名了一种新失效模式:模型正确拒绝了直接提问,却在它转而给出的「安全替代答案」中泄露了有害内容。

2026-06-16//6 min
DEFENSE MEDIUM NEW

Parallax:把智能体安全放进架构,而非提示词

一篇 2026 年 4 月 14 日发布的立场论文指出,一旦智能体的推理被攻破,提示词层面的护栏便随之失效,并提出在结构上把『思考』与『执行』分离。

2026-06-16//7 min
DATA LEAK MEDIUM NEW

MEntA:五次蕴含查询即可对 RAG 语料库做成员推断

2026 年 5 月一篇 USENIX Security 论文表明,攻击者只需约五个自然语言问题即可判断某文档是否存在于 RAG 检索语料库中——无需影子模型、无需模板,且能绕过现有防御。

2026-06-16//6 min
DATA LEAK MEDIUM NEW

推理轨迹泄露:隐藏思维链并不能保护它

2026 年 5 月的一篇论文表明,仅靠提示就能把推理模型隐藏的思维链拉回到可见输出中——而且恢复出的轨迹足以蒸馏出一个更小的模型。

2026-06-16//7 min
RESEARCH MEDIUM NEW

拒绝逃逸方向:为什么对齐无法彻底关闭越狱缺口

2026 年 5 月的一篇论文证明,对齐后的大语言模型仍在其算子结构中保留着「拒绝逃逸方向」——这解释了越狱为何持续存在,以及消除它们为何要以可用性为代价。

2026-06-16//7 min
RESEARCH MEDIUM NEW

SCONE-bench:以被盗美元衡量 AI 自主漏洞利用

Anthropic 2025 年 12 月 1 日的研究用金钱而非成功率来衡量 AI 智能体的漏洞利用:在智能合约上,前沿模型产生了 460 万美元的模拟盗窃,并以每次扫描 1.22 美元发现两个真实零日漏洞。

2026-06-16//7 min
DATA LEAK MEDIUM NEW

SearchLeak(CVE-2026-42824):一次点击让 M365 Copilot 变成数据外泄代理

Varonis 于 2026 年 6 月 15 日公开了 CVE-2026-42824 的利用机制:一条伪造的 microsoft.com 链接串联提示注入、HTML 渲染竞态与 Bing SSRF,窃取邮件和 MFA 验证码。已在服务端修复。

2026-06-16//6 min
DEFENSE LOW NEW

构建安全智能体:以「计划与策略」防御提示注入

NVIDIA 的一篇立场论文(2026 年 3 月 31 日)认为间接提示注入无法仅在模型层面解决,并提出一种「计划与策略」系统架构,约束智能体可以观察和决定的范围。

2026-06-16//5 min
DEFENSE LOW NEW

已验证的智能体技能:为 SKILL.md 供应链提供能力治理

NVIDIA 于 2026 年 5 月 19 日推出的已验证智能体技能,为 SKILL.md 供应链加入了风险扫描、加密签名与机器可读的技能卡——这是针对投毒技能的防御性回应。

2026-06-16//5 min
RESEARCH MEDIUM NEW

安全的模型不等于安全的智能体:ClawSafety 基准测试的启示

2026 年 4 月的一项基准测试对个人 AI 智能体进行 2520 次沙箱试验,测得攻击成功率在 40% 至 75% 之间。决定性变量是注入渠道与智能体框架,而非仅仅是底层模型。

2026-06-15//6 min
DEFENSE MEDIUM

面向智能体 AI 的机密计算:硬件飞地保护不了什么

2026 年 5 月的一篇综述将机密计算映射到智能体技术栈:硬件飞地可保护智能体内存与 KV 缓存免遭恶意云运营商窥探,却挡不住提示注入。

2026-06-15//6 min
ADVERSARIAL MEDIUM NEW

CRCP:能在分块与重排序后存活的 RAG 语料投毒

2026 年 6 月 9 日的一篇 arXiv 论文表明,许多语料投毒攻击在重排序之后会悄然失效,并提出了 CRCP——一种为适应真实 RAG 流水线而设计的“分块感知”变体。其启示在于如何评估,而不仅是如何防御。

2026-06-15//6 min
RESEARCH LOW NEW

Cyber Defense Benchmark:前沿大模型在威胁狩猎中折戟

2026 年 4 月的一项基准测试将五个前沿模型投入原始 Windows 日志并要求其狩猎。最优者仅找出 3.8% 的恶意事件——无一达到无人监督 SOC 的门槛。

2026-06-15//5 min
GOVERNANCE MEDIUM NEW

当政府下架一个模型:Fable 5 / Mythos 5 停用事件

2026 年 6 月 12 日,一道美国出口管制指令迫使 Anthropic 在全球范围内停用 Claude Fable 5 与 Mythos 5。所谓的触发点是一个「越狱」——其实质不过是让模型阅读代码并修复缺陷,而这正是防御者每天都在做的工作。

2026-06-15//7 min
AGENTS CRITICAL NEW

Flowise CVE-2026-41264:LLM 生成的 pandas 代码升级为 RCE

Flowise CSV Agent 中的提示注入诱导模型生成可绕过正则黑名单并执行操作系统命令的 Python 代码。2026 年 4 月 15 日披露,已在 3.1.0 修复。

2026-06-15//5 min
INDIRECT INJECTION MEDIUM NEW

ReAct 智能体中的注入深度:位置比措辞更关键

2026 年 6 月一项针对工具调用 ReAct 智能体的研究发现,决定间接提示注入成败的是注入深度而非措辞:第一次工具调用成功率 60%,到第四次降为 0%。

2026-06-15//6 min
DEFENSE MEDIUM NEW

越狱为何能在模型间迁移——以及「加盐」如何反制

一项针对 20 个开放权重模型的研究表明,越狱的迁移源于共享的内部表征,而非对齐训练的缺陷。一种名为 LLM salting(模型加盐)的防御通过旋转「拒绝方向」来打破复用。

2026-06-15//6 min
SUPPLY CHAIN CRITICAL NEW

ktransformers:通过 ZeroMQ 上的 pickle 实现未认证 RCE(CVE-2026-26210)

ktransformers 推理引擎中的一个严重 RCE 在所有网络接口上暴露了一个 ZMQ 套接字,并对收到的任何数据执行 pickle 反序列化。这是「ShadowMQ」模式被复制到各 AI 推理栈中的最新案例。

2026-06-15//5 min
RESEARCH MEDIUM NEW

大模型隐私不是单一风险:消融研究告诉你先修什么

2026 年 5 月的一项研究在同一威胁模型下衡量成员推断、属性推断、数据提取与后门攻击。结论是:信息泄露更多取决于你的设计选择——模型规模、数据重复、RAG 配置——而非攻击本身。

2026-06-15//6 min
DEFENSE MEDIUM NEW

提示注入尚未解决——请以机器速度加以遏制

在 2026 年 Infosecurity Europe 上,OWASP 的 Ariel Fogel 称提示注入是一个尚未解决的架构性问题,并主张防御应从预防转向与智能体同速的运行时遏制。

2026-06-15//6 min
SUPPLY CHAIN CRITICAL NEW

恶意 LLM API 路由器:智能体栈中无人监管的中间人

加州大学圣巴巴拉分校的一项研究(arXiv,2026 年 4 月 9 日)测量了 428 个第三方 LLM API 路由器:多个会注入代码、窃取凭据,并清空了一个加密钱包——而这一切都源于开发者自愿配置的信任边界。

2026-06-15//7 min
SUPPLY CHAIN MEDIUM NEW

MalSkillBench:我们无法衡量恶意技能检测器,因为测试数据本身有偏

2026 年 6 月的一篇论文构建了首个运行时验证的恶意智能体技能基准——3,944 个样本、108 个攻击单元——并表明同一检测器的召回率会因所用数据集不同而波动多达 66 个百分点。

2026-06-15//7 min
AGENTS CRITICAL NEW

DNS 重绑定让本地 MCP 服务器变成远程攻击面

2025–2026 年的一波协同披露击中了所有主流 MCP SDK,根因相同:监听 localhost 的 HTTP 服务器未校验 Host/Origin 头。最新的 CVE-2026-11624(Google MCP Toolbox,2026 年 6 月 13 日)被评为严重级 9.4。

2026-06-15//6 min
AGENTS CRITICAL NEW

CVE-2026-46519:当 MCP 服务器只在展示层而非执行层过滤工具

mcp-server-kubernetes 仅在 tools/list 中执行只读与白名单控制,却从未在 tools/call 中执行。任何知道工具名称的客户端都能直接调用它。这是一堂关于展示层授权与执行层授权的清晰教训。

2026-06-15//6 min
DEFENSE MEDIUM NEW

为什么提示注入检测器屡屡失效:2026 年的绕过难题

从关键词分类器到激活漂移探针,提示注入检测器都有一个共同弱点——自适应攻击者。两项研究报告了高达约 100% 的绕过率。检测只是一层,绝非边界。

2026-06-15//6 min
DEFENSE LOW NEW

SafeHarbor:一种针对智能体过度拒绝的分层记忆护栏

被 ICML 2026 接收的 SafeHarbor 是一种免训练护栏,从自演化的风险树中注入上下文相关的安全规则——在 GPT-4o 上保持 63.6% 的良性可用性,同时拒绝超过 93% 的攻击。

2026-06-15//6 min
RESEARCH LOW NEW

SEC-bench Pro:AI 智能体真的能在 V8 和 SpiderMonkey 中挖洞吗?

2026 年 5 月 26 日的一项基准测试,衡量编码智能体在真实浏览器引擎中进行长链路漏洞发现的能力。前沿模型仍低于 40%——这一差距对攻防双方都很重要。

2026-06-15//5 min
AGENTS MEDIUM NEW

Splunk MCP 服务器以明文记录认证令牌(CVE-2026-20205)

Splunk MCP Server 应用将用户的会话令牌和授权令牌以明文写入 _internal 索引——这是一个 CWE-532(日志中的机密信息)缺陷,使日志访问权变成令牌窃取。已在 v1.0.3 修复。

2026-06-15//6 min
AGENTS MEDIUM NEW

AI 智能体中的 TOCTOU:观察与执行之间的原子性破坏

一类古老的操作系统漏洞在智能体中重现:在智能体「观察」与「执行」之间,世界已经改变。2026 年的新研究将其形式化,覆盖 GUI、浏览器与多智能体系统。

2026-06-15//6 min
SUPPLY CHAIN MEDIUM NEW

当热门榜第一名是恶意软件:Hugging Face 上的 Open-OSS/privacy-filter 仿冒事件

2026 年 5 月 7 日,HiddenLayer 发现 Open-OSS/privacy-filter——一个仿冒 OpenAI 模型的仓库,18 小时内冲上 Hugging Face 热门榜首、约 24.4 万次下载,并投递一个 Rust 信息窃取程序。

2026-06-15//5 min
RESEARCH MEDIUM NEW

XL-SafetyBench:在 10 个国家而非仅用英语测试大模型安全

2026 年 5 月 7 日的一篇 arXiv 论文(AIM Intelligence 与微软 AI 红队)表明,以英语为中心的安全测试会遗漏各国特有的风险——而许多模型的「安全」只是偶然的拒答。

2026-06-15//6 min
JAILBREAK MEDIUM NEW

多片段视频越狱:为什么视频会击穿多模态大模型的安全防线

2026 年 6 月的一篇 ACL 论文表明,视频通道是比图像更脆弱的安全边界:当视频被切分为多个多样化短片段时,攻击成功率随之上升。

2026-06-14//6 min
DEFENSE MEDIUM NEW

SecureClaw:面向工具型 LLM 智能体的双边界防御

2026 年 6 月的一篇论文提出同时守护两条不同的边界——在效果汇点授权外部动作、在读取边界对明文进行隔离——在一个智能体基准上报告了 0% 的攻击成功率。

2026-06-14//6 min
RESEARCH LOW NEW

脑提示注入:当神经信号成为智能体的授权通道

2026 年 6 月 8 日的一篇 arXiv 论文为一种新攻击面命名:把解码后的 EEG 当作工具调用授权通道的「脑机接口到智能体」管道。三种注入向量可在 EEG 端与文本端监控均无察觉时翻转被路由的动作。

2026-06-13//6 min
AGENTS MEDIUM NEW

ConVerse:两个智能体对话时,能力更强的那个泄露更多

一项针对智能体之间对话的基准测试发现,隐私攻击成功率高达 88%,安全漏洞高达 60%——而且能力更强的模型泄露更多,而非更少。

2026-06-13//6 min
DEFENSE MEDIUM NEW

PI-Hunter:审计智能体以暴露并定位隐藏的提示注入

2026 年 6 月,谷歌研究者的一篇论文把提示注入红队测试重新定位为审计——PI-Hunter 演化以来源为锚的测试用例,揭示潜在注入在智能体中从何处进入、如何传播,而不仅仅是攻击是否成功。

2026-06-13//6 min
RESEARCH MEDIUM NEW

SIGIL:证明你的文本被用于训练大模型

2026 年 6 月的一篇 arXiv 论文提出在文本与代码中嵌入难以察觉的「金丝雀」标记,使内容所有者能够在可控误报率下证明某个模型使用了自己的数据进行训练。

2026-06-13//5 min
DEFENSE MEDIUM NEW

AgentDyn:为何在静态基准上满分的注入防御在真实场景中失效

2026 年 2 月的 ICML 基准 AgentDyn 在动态、开放式的智能体任务上测试了十种主流提示注入防御。几乎所有防御要么不安全,要么过度防御到无法使用。

2026-06-12//6 min
SUPPLY CHAIN MEDIUM NEW

超越工具投毒:恶意远程 MCP 服务器究竟能做什么

2026 年 5 月 21 日的一项研究系统梳理了恶意远程 MCP 服务器在 ChatGPT、Claude Desktop 和 Gemini CLI 上的完整攻击面——同一请求下主机过滤率在 95% 与 50% 之间摇摆,且成功的攻击几乎从不向用户披露。

2026-06-12//7 min
AGENTS MEDIUM NEW

因果洗白:被拒绝的工具调用为何仍会泄露数据

2026 年 4 月的一篇论文表明,拒绝智能体的工具调用并不意味着攻击结束:拒绝本身就是一条信息通道。扁平的污点追踪会漏掉它。

2026-06-12//7 min
INFRASTRUCTURE CRITICAL NEW

ChromaToast:ChromaDB 向量数据库中的预认证 RCE

HiddenLayer 于 2026 年 5 月 18 日披露(CVE-2026-45829,CVSS 10.0),表明 ChromaDB 的 Python 服务器会先加载攻击者的 HuggingFace 模型并执行其代码,然后才检查身份认证。

2026-06-12//6 min
AGENTS MEDIUM NEW

Claude Code 的 GitHub Action:Read 工具如何泄露 CI/CD 密钥

微软威胁情报发现,Claude Code Action 的 Read 工具绕过了 Bash 的环境清洗,读取 /proc/self/environ,泄露了 runner 的 ANTHROPIC_API_KEY。已在 v2.1.128 修复。

2026-06-12//6 min
DATA LEAK MEDIUM NEW

注入持续泄露 Copilot:2026 年 6 月两个新 CVE

2026 年 6 月 9 日的补丁星期二发布了 CVE-2026-42824 与 CVE-2026-47644——Copilot 表面上的两个注入类信息泄露漏洞,延续了自 EchoLeak 以来的数据外泄脉络。

2026-06-12//6 min
DATA LEAK MEDIUM NEW

LLM 智能体 skill 中的凭据泄露:一项覆盖 1.7 万个 skill 的实证研究

2026 年 4 月 3 日的一篇 arXiv 研究分析了 17022 个智能体 skill,发现其中 520 个泄露凭据——73.5% 的泄露源自把密钥直接写入模型上下文的调试日志。

2026-06-12//6 min
INDIRECT INJECTION MEDIUM NEW

DACSI:当被检索的文档伪造系统的控制信号

2026 年 6 月 8 日的一篇论文为一种隐蔽的 RAG 失效模式命名:不可信文档文本冒充元数据、来源与策略信号。无需「ignore previous instructions」——核心教训是:文档自带的标签是数据,不是策略。

2026-06-12//5 min
DEFENSE MEDIUM NEW

防御三难困境:为什么提示注入包装器无法做到完备

一篇经 Lean 4 机器验证的 2026 年 4 月论文证明:任何连续且保持效用的输入包装器都无法拦截所有提示注入。连续性、效用与完备性三者不可兼得。

2026-06-12//7 min
DEFENSE LOW NEW

深入 GitHub Agentic Workflows:面向 CI/CD 智能体的安全架构

GitHub Agentic Workflows 于 2026 年 6 月 11 日进入公开预览,采用安全优先设计:在 chroot 隔离环境中运行无密钥智能体、工作流防火墙、写操作先缓冲再校验,以及一个威胁检测作业。这是对 CI/CD 中提示注入的防御性回答。

2026-06-12//7 min
JAILBREAK MEDIUM NEW

CodeSpear:当语法约束解码成为越狱攻击面

2026 年 6 月 10 日的一篇 arXiv 论文表明,强制 LLM 代码输出语法有效的可靠性功能本身可被用作越狱手段。施加一个看似无害的代码语法即可绕过拒答;作者提出的 CodeShield 防御以蜜罐代码作答。

2026-06-12//5 min
INFRASTRUCTURE CRITICAL NEW

暴露的 MCP 服务器成为云接管的跳板

云 MCP 服务器中的命令注入(CVE-2026-5058/5059)让攻击者抵达实例元数据服务、窃取 IAM 角色,并横向渗透整个云账户。

2026-06-12//5 min
RESEARCH MEDIUM NEW

记忆主权:保护智能体记忆的完整生命周期

2026 年 4 月的一篇综述将 LLM 智能体的记忆安全重新定义为六阶段生命周期,并指出该领域忽视了遗忘、机密性与非对抗性漂移。

2026-06-12//7 min
GOVERNANCE LOW NEW

DeepMind 与合作伙伴设立 1000 万美元多智能体 AI 安全研究基金

2026 年 6 月 11 日,Google DeepMind、Schmidt Sciences、Cooperative AI Foundation 与 ARIA 启动一项 1000 万美元征集,旨在为数百万个相互交互的 AI 智能体的安全建立一个研究领域。

2026-06-12//5 min
RESEARCH MEDIUM NEW

更新不一定更安全:跨代模型的非单调安全对齐

2026 年 5 月的一篇论文对四代 Gemma 进行红队测试,发现中间一代比其前代和后代都更易被越狱——安全性并非呈直线提升。

2026-06-12//5 min
GOVERNANCE MEDIUM NEW

OWASP 2026 智能体 AI 安全态势报告:提示注入串联起多数智能体故障

OWASP《智能体 AI 安全与治理态势》v2.01(2026 年 6 月 1 日)从假设性威胁转向已记录的 CVE 与入侵事件。提示注入现已覆盖十类智能体风险中的六类。

2026-06-12//5 min
DATA LEAK MEDIUM NEW

提示词反演:分布式 LLM 推理泄露输入,首个有理论保证的防御方案问世

提示词反演攻击可从中间激活值中恢复多达 88.4% 的输入 token。2026 年 6 月 10 日提交的论文提出了首个基于信息论、具备形式化保证的防御框架。

2026-06-12//6 min
DEFENSE LOW NEW

Recuse Signal:为持有真实凭据的智能体准备的 robots.txt

2026 年 6 月的一篇论文提出了一种带内「拒绝」信号——通过 SSH 横幅或 PostgreSQL NOTICE 发出——礼貌地请求自主智能体主动退出。试点中它促成了 100% 的回避,但一句授权措辞又让最强的模型重新继续。

2026-06-12//5 min
SUPPLY CHAIN MEDIUM NEW

RTK(CVE-2026-45792):不可信过滤配置可对 AI 评审隐藏后门

Pillar Security 于 2026 年 5 月 20 日披露了 Claude Code 令牌优化过滤工具 RTK 的一处缺陷:仓库提供的 .rtk/filters.toml 可在模型读取前悄悄从命令输出中剥离后门。攻击目标是智能体的感知,而非其执行。

2026-06-12//6 min
RESEARCH MEDIUM NEW

StakeBench:网页代理被注入时,到底谁在买单?

来自 NTU、IBM Research 和 UIUC 的利益相关方视角基准显示:网页代理在所有被测注入目标上全部失守,而损害往往落在第三方身上,而非用户。

2026-06-12//6 min
DEFENSE MEDIUM NEW

工具流注入:为何静态智能体防御会失效,以及「先验证后提交」如何修复

2026 年 1 月的论文 VIGIL 将间接注入重新聚焦于工具流——伪造的工具描述与虚假错误信息——并指出:智能体对齐得越好,反而越会服从它们。

2026-06-12//6 min
DEFENSE MEDIUM NEW

TRUSTDESC:从代码反推工具描述,从根源化解工具投毒

2026 年 4 月的一篇论文从根源应对工具投毒:从工具的实现而非作者提供的文本生成描述,化解检测器无法发现的隐式投毒。

2026-06-12//6 min
INFRASTRUCTURE CRITICAL NEW

多模态输入即攻击面:vLLM 视频解码器远程代码执行(CVE-2026-22778)

CVE-2026-22778 让一个恶意视频 URL 在 vLLM 服务器上变成远程代码执行,它把 PIL 的信息泄露与 FFmpeg JPEG2000 解码器的堆溢出串联起来。已在 0.14.1 修复。

2026-06-12//6 min
RESEARCH LOW NEW

AuditBench:用 LLM 调查真实攻击,结果是一台误报机器

2026 年 6 月的一项基准测试让五个前沿 LLM 分析真实审计日志。结论:模型过度多疑、误报泛滥,而小模型的表现常常不输大模型。

2026-06-11//6 min
DEFENSE MEDIUM NEW

CASA:将每次工具调用与用户真实意图比对的基于任务的访问控制

2026 年 5 月 4 日的一篇 arXiv 论文提出“持续智能体语义授权”——一个零信任层,从多轮对话中提取用户任务,并拒绝与之不符的工具调用。

2026-06-11//5 min
AGENTS MEDIUM NEW

上下文断裂分解:利用来源溯源缺口的越狱攻击

2026年6月8日的一篇arXiv论文形式化了工具型智能体中的「溯源缺口」:危害行为由分散在时间中的若干无害工具操作拼合而成,成功率最高提升28.3个百分点。

2026-06-11//5 min
AGENTS CRITICAL NEW

Cursor 白名单绕过:shell 内建命令污染环境实现 RCE

CVE-2026-22708 允许提示注入利用 export、typeset 等受信任的 shell 内建命令污染 Cursor 的环境变量,把一条已批准的 git 或 python 命令变成远程代码执行。已在 2.3 版本修复。

2026-06-11//5 min
SUPPLY CHAIN CRITICAL NEW

Hades 蠕虫:打开仓库即运行的被投毒 AI 编码工具配置

Hades 供应链蠕虫将 Claude Code、Gemini、Cursor 和 VS Code 的配置文件提交进仓库,在会话启动或打开文件夹时自动执行——无需任何安装步骤,便把克隆下来的仓库变成凭据窃取器。

2026-06-11//6 min
ADVERSARIAL MEDIUM NEW

HPAA:人能读懂、审核大模型却看不见的排版攻击

2026 年 6 月 8 日的一篇论文提出“人类可感知对抗攻击”:有害文本对读者依然一目了然,却能凭借排版操纵绕过基于大模型的内容审核。

2026-06-11//5 min
INDIRECT INJECTION MEDIUM NEW

注入悖论:当提示注入反噬自身,在 RAG 中抹除一个品牌

2026 年 6 月 8 日的一篇 arXiv 预印本表明,检索文档中的提示注入会在经过安全训练的 Claude 模型上反噬,使某品牌的推荐率从 54% 跌至 0%——并由此开启针对竞争对手的反向攻击。

2026-06-11//5 min
DEFENSE MEDIUM NEW

监督是有容量的:当更多的审批反而让智能体更不安全

2026 年 6 月 8 日的一篇 arXiv 论文,把智能体审批关卡背后的人类审核者建模为一种会疲劳的有限资源,并表明升级更多动作反而会降低真实安全性,并打开一种淹没式攻击。

2026-06-11//7 min
GOVERNANCE MEDIUM NEW

OWASP 智能体成熟度模型:不要在红色格子里运行

OWASP 2026 年 6 月《智能体 AI 安全与治理现状》报告新增企业采用成熟度模型——一个双轴矩阵,揭示智能体自主性超出治理能力、形成无人可见的「红色格子」。

2026-06-11//5 min
AGENTS MEDIUM NEW

SABER:编码智能体即使拒绝恶意提示,仍会在操作安全上失败

2026 年 5 月 31 日的一项基准测试以真实工作区的最终状态、而非提示拒绝来评估 LLM 编码智能体。即便是最优模型,也有超过一半的运行留下有害的违规。

2026-06-11//6 min
PROMPT INJECTION MEDIUM NEW

网页聊天机器人插件:不安全的小部件如何放大提示注入

一项 IEEE S&P 2026 研究分析了部署在 1 万多个网站上的 17 款聊天机器人插件,发现可被伪造的对话历史(注入效果提升 3 至 8 倍),以及混淆可信与不可信内容的抓取工具。

2026-06-11//5 min
INFRASTRUCTURE CRITICAL NEW

LiteLLM CVE-2026-42271:MCP 测试端点串联为未授权 RCE

四月披露时只是一个需认证的命令注入,LiteLLM 的 MCP 预览端点一旦与 Starlette 的 BadHost 绕过串联,便成为未授权 RCE——2026 年 6 月 8 日被 CISA 列入 KEV。

2026-06-10//5 min
AGENTS MEDIUM NEW

记忆控制流攻击:当存储的记忆操纵智能体的工具调用

2026 年 3 月的一篇论文表明,被投毒的智能体记忆不仅会污染内容,还会劫持工具选择的控制流——在超过 90% 的试验中强制调用非预期工具、跳过步骤,且能跨任务持续、在注入后长期生效。

2026-06-10//7 min
SUPPLY CHAIN CRITICAL NEW

Transformers 配置注入:绕过 trust_remote_code 的静默 RCE

CVE-2026-4372 于 2026 年 6 月 4 日公开,单个 config.json 字段即可在普通的 from_pretrained() 调用中执行攻击者代码——绕过 Hugging Face Transformers 中的 trust_remote_code=False。

2026-06-10//7 min
DEFENSE MEDIUM NEW

ADR:面向 MCP 智能体的检测与响应,在 Uber 规模验证

2026 年 5 月 Uber 的论文介绍了一套面向 MCP 智能体的类 EDR 系统:完整因果遥测、两级检测与离线红队,已在逾 7200 台主机上运行十个月。

2026-06-08//6 min
DEFENSE MEDIUM NEW

智能体安全是系统问题:把模型当作不可信组件

2026 年 5 月一篇立场论文(Google、UCSD、威斯康星大学麦迪逊分校)主张:智能体安全应从模型内部移到系统层面——把大模型视为不可信组件,并在其外围强制安全不变量。

2026-06-08//7 min
OFFENSIVE AI MEDIUM NEW

智能体 AI 如何压缩网络攻击的生命周期

2026 年 5 月的一篇 arXiv 论文建模了智能体 AI 如何降低攻击各阶段(从侦察到后渗透)的成本,从而压缩杀伤链,并重塑企业的防御优先级。

2026-06-08//6 min
DEFENSE LOW NEW

AgentTrust:在执行前审查智能体的工具调用

2026 年 5 月 6 日的一篇预印本提出 AgentTrust——一个在每次工具调用执行前进行检查的运行时层,返回放行 / 警告 / 拦截 / 复核,并能识别被混淆的 shell 载荷。

2026-06-08//5 min
RESEARCH LOW NEW

为什么评测安全智能体如此困难

一篇于 2026 年 5 月 21 日发布的立场论文指出,用于给安全智能体打分的排行榜正悄然失真:你想衡量的对抗推理能力,同样能够攻破基准本身。三种失效模式,以及如何诚实地进行评测。

2026-06-08//6 min
RESEARCH MEDIUM NEW

超越「浅层安全」:序列中段注入仍能让已对齐的大模型偏航

2026 年 6 月 3 日的一篇 arXiv 论文表明,安全对齐不仅可在开头的若干 token 处被改写,也可在生成的任意步骤被改写——而隐藏状态中的拒绝方向并不能预测模型的鲁棒性。

2026-06-08//5 min
RESEARCH MEDIUM NEW

为什么独立 AI 智能体开发者总是忽视安全风险

2026 年 6 月一篇 arXiv 研究对独立 AI 智能体开发者的访谈发现一个以用户为中心的盲区:他们关注有害内容,却忽视提示注入、数据外泄与跨境数据流动。

2026-06-08//6 min
OFFENSIVE AI MEDIUM NEW

免手动固件漏洞研究:LLM 智能体端到端逆向一台 OT 对讲机

2026 年 6 月 2 日,Claroty Team82 用 Claude Opus 4.6 搭配 Ghidra MCP 服务器分析一台 Zenitel 对讲机固件,在不到十分钟内重新发现了一组已知 CVE——这是固件漏洞研究走向商品化的预演。

2026-06-08//5 min
RESEARCH MEDIUM NEW

遗忘却可复原:为何大模型的机器遗忘总是泄漏回来

2025-2026 年的多项研究表明,大模型中被「遗忘」的知识普遍可被复原——通过量化、对抗性提示,乃至如今的推理轨迹。把机器遗忘当作擦除是一个错误。

2026-06-08//6 min
DEFENSE MEDIUM NEW

通过观察流量窗口而非单条查询来检测模型提取攻击

2026 年 6 月的一篇论文表明,一种简单的分布检验(对查询嵌入做 MMD、仅用正常流量校准)能够检测隐藏在混合 API 流量中的模型提取行动——误报率 0.3%,纯攻击流量上检出率 100%。

2026-06-08//6 min
AGENTS MEDIUM NEW

MS-Agent 的 shell 工具:正则黑名单把提示注入变成 RCE

CVE-2026-2256 让攻击者控制的内容诱导 ModelScope 的 MS-Agent 执行系统命令。根因是一个熟悉的反模式:用正则黑名单而非白名单来防护 shell 工具。

2026-06-08//5 min
AGENTS MEDIUM NEW

OWASP ASI02:当智能体把自己的工具反过来对付你

工具滥用与利用是 OWASP 2026 智能体应用十大风险中的第二项。危险不在于智能体获得了新工具,而在于它滥用已有的工具——过度授权、被投毒的工具描述、不安全的链式调用。

2026-06-08//6 min
DEFENSE MEDIUM NEW

ePCA:用形式化验证取代智能体的语义护栏

2026 年 5 月的一篇论文提出 ePCA:一种在执行前将每个智能体动作编译为一阶逻辑并运行 SMT 检查的护栏,将不安全的步骤作为逻辑死锁加以阻止。

2026-06-08//6 min
AGENTS CRITICAL NEW

远程 MCP 服务器:40% 无身份验证,其余的 OAuth 也已失守

2026 年 5 月的一篇 arXiv 研究扫描了 7,973 台活跃的远程 MCP 服务器:40.55% 在毫无身份验证的情况下暴露工具,而受测的 119 台 OAuth 服务器无一例外至少存在一个缺陷——已分配 9 个 CVE。

2026-06-08//6 分钟
SUPPLY CHAIN MEDIUM NEW

序列式投毒:将后门拆分到后训练的多个阶段

2026年6月3日的一篇论文显示,分散在 SFT 数据与偏好数据中的投毒——单独看每个阶段都微不足道——会组合成一个可用的后门。逐阶段审计制造出「单一攻击者错觉」。

2026-06-08//7 min
ADVERSARIAL MEDIUM NEW

SlotGCG:决定越狱成败的是对抗 token 的位置,而不仅是其内容

2026 年 6 月的一篇论文显示,当对抗 token 被放置在与注意力相关的插槽时,GCG 类越狱的成功率平均提升约 14%,并在输入过滤防御下仍保留 42% 的成功率。

2026-06-08//5 min
AGENTS MEDIUM NEW

针对 x402 的五种攻击:当 AI 智能体付款时,跨层接缝在漏水

2026 年 5 月 12 日的一篇论文从形式上攻破了基于 HTTP 402 的智能体支付协议 x402。五种攻击覆盖结算、重放、Web 处理与发现——一次被重放的支付在生产端点上换来了 248 次授予。

2026-06-08//6 min
DEFENSE MEDIUM NEW

微软智能体失效模式分类法 v2.0:零点击绕过人在回路

微软 AI 红队的 v2.0 分类法(2026 年 6 月 4 日)新增七类智能体失效模式,并指出人在回路绕过是被利用最频繁的一类——其中包括从单一外部输入发起的零点击攻击链。

2026-06-07//7 min
DEFENSE LOW NEW

AgentVisor:一种审计每次工具调用的操作系统虚拟机监控器模式

2026年4月27日的一篇arXiv论文借用操作系统虚拟机监控器的思路来防护带工具的LLM智能体:一个可信的“visor”审计每次工具调用,并在架构上对不可信内容保持失明。

2026-06-07//7 min
SUPPLY CHAIN MEDIUM NEW

Back-Reveal:通过被植入后门的智能体自身工具调用窃取数据

一个经过微调的智能体携带隐藏触发器。在收到无害信号时,它读取你的会话记忆,并伪装成普通检索调用将其外传——无需注入,无需恶意工具。论文日期为 2026 年 4 月 7 日。

2026-06-07//7 min
DEFENSE LOW NEW

Need to Know:基于情境完整性的隐私查询改写

2026 年 6 月 2 日的一篇 arXiv 论文把隐私保护的查询改写重新定义为情境完整性问题:只有当任务真正需要时,才把某段信息发送给云端 LLM,而不是因为匹配到某种 PII 类型。

2026-06-07//5 min
DEFENSE LOW NEW

两个抬高提示注入检测器分数的方法论陷阱

2026年6月1日的一篇arXiv预印本指出,大多数提示注入与越狱检测器基准都依赖于按数据集调阈值和不公开工作点这两种做法——它们悄悄抬高了所宣传的准确率。

2026-06-07//5 min
INFRASTRUCTURE CRITICAL NEW

Langflow 的公开构建端点:20 小时内被武器化的未授权 RCE

CVE-2026-33017 将 Langflow 的公开流程构建端点变成未授权远程代码执行。该漏洞于 2026 年 3 月 17 日披露,20 小时内即被野外利用——早于任何公开 PoC 出现。

2026-06-07//5 min
INDIRECT INJECTION MEDIUM NEW

决策劫持:对为你的搜索结果排序的 LLM 发起提示注入

2025-2026 年的一系列研究表明,当 LLM 对搜索或 RAG 候选结果重排序时,只需在单个文档中注入几行文字,就能将其推到首位——排序质量骤降 60 多个 NDCG 点,而且越强的模型越脆弱。

2026-06-07//6 min
DEFENSE LOW NEW

Membrane:无需重训即可自适应护栏的对比式安全记忆

2026 年 6 月 4 日的一篇 arXiv 论文提出 Membrane,一种自演化护栏,将每个被拦截的攻击与一个几乎相同的良性请求配对,把过度拒绝降至 7-14%,并在六种越狱上取得最高 F1。

2026-06-07//5 min
SUPPLY CHAIN MEDIUM NEW

MetaBackdoor:以输入长度为触发器、在输入中不留痕迹的后门

微软与东京科学院 2026 年 5 月的论文植入了一种后门,其触发器是输入的长度而非文本。提示词看上去干净,内容过滤器毫无察觉,仅需 90 个投毒样本即可。

2026-06-07//6 min
DEFENSE LOW NEW

OpenAI 锁定模式:切断提示注入的数据外泄通道

2026 年 6 月 6 日,OpenAI 将锁定模式扩展到个人版与自助 Business 版 ChatGPT 账户:一项确定性设置,关闭被用于通过提示注入外泄数据的出站通道。

2026-06-07//5 min
DEFENSE MEDIUM NEW

THRD:一种无需重训练的多轮越狱时序防御框架

2026 年 6 月的一篇论文主张:多轮越狱必须基于整段对话来判定,而非逐轮评估。THRD 在时间维度上聚合风险,将攻击成功率降至 0.2–4%,且无需重训练模型。

2026-06-07//6 min
OFFENSIVE AI MEDIUM NEW

自适应 AI 蠕虫:当恶意软件自带本地 LLM

多伦多大学 2026 年 6 月的论文演示了一种蠕虫:它在所攻陷的机器上运行开放权重 LLM,针对每个目标调整漏洞利用,并能武器化模型训练截止日期之后才公开的安全公告。

2026-06-05//7 min
DEFENSE MEDIUM NEW

自己写日志的智能体:为什么不能信任自报的审计轨迹

如果被攻陷的智能体自行生成活动日志,它可以省略、篡改或伪造自己的行为。2026 年 6 月的三项工作——arXiv 的 Notarized Agents、IETF 的智能体审计轨迹草案以及 SCITT——指向同一个对策:把信任边界移出智能体本身。

2026-06-05//6 min
INDIRECT INJECTION MEDIUM NEW

AgentRedBench:SaaS 智能体的间接注入本质是授权缺口

AgentRedBench(2026 年 6 月)对读取 Gmail、Jira 等 SaaS 工具的 LLM 智能体进行红队测试。在无防护下,八个前沿模型的攻击成功率为 32%–81%,直到一个工具响应分类器将其压低。

2026-06-05//6 min
DEFENSE MEDIUM NEW

当基于嵌入的防御在 LLM 多智能体系统中失效

2026 年 5 月 1 日的一篇 arXiv 论文表明:依据消息嵌入剔除恶意智能体的检测器,在面对被改写得近乎良性的文本时会崩溃——并提出以词元级置信度信号作为更稳健的替代方案。

2026-06-05//5 min
SUPPLY CHAIN MEDIUM NEW

GGUF 模型文件是不可信输入:llama.cpp 解析器反复出现的 RCE

CVE-2026-33298(2026 年 3 月)与 2026 年 5 月 15 日的一份 oss-sec 披露表明,llama.cpp 的 GGUF 解析器接连出现整数溢出导致的堆破坏:加载一个被构造的模型文件就可能执行代码。

2026-06-05//5 min
GOVERNANCE MEDIUM NEW

各家实验室对提示注入的度量互不相同

2026年6月1日对 Anthropic、OpenAI、Google 与 Meta 提示注入披露的对比显示:四家在指标、攻击面与「成功」定义上均不一致,其数字无法横向比较。

2026-06-05//5 min
AGENTS CRITICAL NEW

CVE-2026-45497:命令注入将 Microsoft 365 Copilot 变成 RCE 攻击面

2026 年 6 月 4 日,MSRC 披露了 CVE-2026-45497——Microsoft 365 Copilot 中的命令注入漏洞,被评为远程代码执行,并带有跨越服务边界的范围变更。已在服务端修复。

2026-06-05//5 min
AGENTS MEDIUM NEW

当 MCP 工具参数变成 Android intent:mobile-mcp 的注入汇聚点

CVE-2026-35394 使受模型控制的 URL 能够通过 mobile-mcp 的 mobile_open_url 工具触发任意 Android intent。结合一个同源的路径遍历 CVE,它揭示出一种模式:MCP 工具参数未经校验便流入危险汇聚点。

2026-06-05//6 min
RESEARCH MEDIUM NEW

MPBench:LLM 智能体记忆投毒的系统化分类法

2026 年 6 月 3 日的一篇 arXiv 研究梳理了四类记忆写入通道、九种结构性弱点和六类攻击,并证明现有提示注入防御无法覆盖记忆投毒。

2026-06-05//6 min
RESEARCH MEDIUM NEW

Optimus:超越二元判定为越狱打分,揭示一个隐蔽最优区间

2026 年 5 月 9 日的一篇 arXiv 论文指出,二元成功率掩盖了防御者最该担心的越狱。其 Optimus 指标按相似度与有害性为提示打分,揭示出一个 ASR 跌至零的「隐蔽最优」区间。

2026-06-05//7 min
AGENTS MEDIUM NEW

VIPER-MCP:40,000 个 MCP 服务器中的污点型漏洞带来 67 个 CVE

2026 年 5 月 20 日的一篇 arXiv 论文审计了 39,884 个开源 MCP 服务器仓库,端到端确认了 106 个零日漏洞,并已分配 67 个 CVE 编号。重点在于这一模式:不可信的智能体输入抵达 shell、网络与文件系统的 sink。

2026-06-05//6 min
SUPPLY CHAIN MEDIUM NEW

trust_remote_code=False 并非信任边界:vLLM 反复出现的模型加载 RCE

CVE-2026-27893(2026 年 3 月 27 日披露)是 vLLM 第三次 trust_remote_code 绕过。两个模型文件将 trust_remote_code=True 写死,静默覆盖运维人员的设置,使恶意模型仓库得以实现 RCE。

2026-06-05//5 min
DEFENSE MEDIUM NEW

在输出 token 之前检测 LLM 智能体的凭证外泄

2026 年 6 月 2 日发布的一篇 arXiv 论文,在任何输出 token 产生之前就检测智能体的凭证泄漏——结合激活探针、校准蜜标和多轮泄漏核算。

2026-06-04//6 min
SUPPLY CHAIN MEDIUM NEW

AGENTS.md 注入:被投毒的依赖可以悄悄改写你编码智能体的指令

NVIDIA AI 红队 2026 年 4 月 20 日的报告显示,恶意依赖可在构建期写入伪造的 AGENTS.md,覆盖开发者的指令,并让 OpenAI Codex 在拉取请求中隐藏该改动。

2026-06-04//6 min
DEFENSE MEDIUM NEW

AgentShield:用蜜标和诱饵工具识别被劫持的智能体

2026 年 5 月的一篇论文将欺骗工程引入工具型 LLM 智能体:假工具、假凭据和参数白名单,让被劫持的智能体自露马脚。论文报告对成功攻击的检出率为 90.7%–100%,且无误报。

2026-06-04//6 min
AGENTS MEDIUM NEW

AIRQ 评测 100 个生产环境 AI 智能体:98% 具备致命三要素

Adversa AI 于 2026 年 6 月发布的 AI 风险象限按攻击面、影响范围与防御能力对 100 个商用智能体评分。仅 11% 防御良好;工具执行一项即可解释 76% 的影响范围。

2026-06-04//7 min
AGENTS CRITICAL NEW

自传播智能体蠕虫与时间性重入防御

2026 年 5 月的一篇论文形式化地说明了智能体的持久状态如何让注入载荷把自身写回 LLM 上下文、在智能体之间零点击传播,并提出 RTW-A——一种由「无持久蠕虫传播」定理证明的防御。

2026-06-04//7 min
DEFENSE MEDIUM NEW

BM25 + 向量混合检索将 RAG 投毒成功率从 38% 降到 0%

2026 年 3 月 10 日的一篇 arXiv 预印本表明,在稠密检索之外加入稀疏 BM25,即可在不改动 LLM 的情况下阻断一整类基于梯度优化的 RAG 语料投毒。

2026-06-04//6 min
OFFENSIVE AI MEDIUM NEW

将 AI 威胁行为者映射到 MITRE ATT&CK:ARiES 评分及其打破的常识

Anthropic 于 2026 年 6 月 3 日发布的报告,将一年的 AI 辅助网络攻击映射到 MITRE ATT&CK。对防御者的结论是:技术复杂度、技术数量与接入方式都不再能预测风险——编排能力才能。

2026-06-04//6 min
AGENTS MEDIUM NEW

7 个 MCP 客户端的工具投毒对比:一份安全态势评估

2026 年 3 月的一项实证研究针对 Claude Desktop、Claude Code、Cursor、Cline、Continue、Gemini CLI 与 Langflow 测试了四类工具投毒攻击,并发现大部分防护来自模型而非客户端本身。

2026-06-04//6 min
DEFENSE MEDIUM NEW

OWASP Agent Memory Guard:对抗智能体记忆投毒的运行时防护层

经 Help Net Security 于 2026 年 6 月 1 日报道,Agent Memory Guard 是 OWASP 针对 ASI06 的首个参考实现——一个即插即用的防护层,按 YAML 策略过滤智能体记忆的每一次读写。

2026-06-04//6 min
DEFENSE MEDIUM NEW

PISmith:自适应强化学习红队持续攻破提示注入防御

2026 年 3 月的一篇论文用强化学习训练攻击模型,在黑盒条件下压力测试提示注入防御——8 种最先进的防御仍被攻破,包括在 AgentDojo 与 InjecAgent 上。

2026-06-04//5 min
INFRASTRUCTURE CRITICAL NEW

SGLang 的 ZMQ broker:pickle 反序列化导致未授权 RCE

2026 年 3 月 12 日披露的三个 CVE,将 SGLang 的 pickle.loads() 调用变成了未授权远程代码执行。修复随 v0.5.10 发布——但真正的教训是:在网络套接字上使用 pickle,本身就是设计层面的 RCE。

2026-06-04//6 min
DATA LEAK MEDIUM NEW

社会传染:多智能体环境中 LLM 智能体会泄露隐私数据

2026 年 5 月的一项研究模拟了数千个 LLM 智能体,发现数据泄露具有社会传染性:智能体在看到同伴泄露后泄露概率约高出 8 倍,明确的隐私指令能降低但无法消除该效应。

2026-06-04//7 min
INDIRECT INJECTION MEDIUM NEW

描述投毒:你的基准测试没有覆盖的智能体通道

2026 年 5 月的一项 AWS Bedrock AgentCore 演示与 2026 年 6 月的一篇 arXiv 论文指向同一个盲区:在每次调用前被读取的工具描述,是一条注入通道,而基础设施控制与单一数值的基准测试都看不到它。

2026-06-04//5 min
DEFENSE LOW NEW

Agent Threat Rules:面向 AI 智能体的「Sigma」——以及它的召回率数字所坦白的真相

ATR 为智能体攻击提供开放的 YAML 检测规则,已在微软、思科和 Gen Digital 投入生产。其自身的基准测试说明了为何基于正则的检测只是一层,而非边界。

2026-06-03//5 min
PROMPT INJECTION MEDIUM NEW

ASPI:请求澄清会扩大提示注入攻击面

2026 年 5 月 17 日的一篇 arXiv 基准研究显示,当智能体暂停向用户请求澄清时,提示注入的成功率会从不到 2% 升至超过 34%(o3 与 Gemini-3-Flash)。

2026-06-03//6 min
AGENTS MEDIUM NEW

授权传播:提示注入防御无法弥合的智能体安全缺口

Krti Tallam 于 2026 年 5 月 6 日发表的论文指出,多智能体系统存在一个独立的授权传播问题——传递性委派、聚合推断、时间有效性——即便提示注入被完全防住,它依然存在。

2026-06-03//7 min
OFFENSIVE AI MEDIUM NEW

CAESAR:协同的 LLM 智能体突破单模型的推理上限

2026 年 5 月 9 日的一篇 arXiv 论文表明,将 LLM 攻击者拆分为五个类型化角色,在 25 道 CTF 题目和四个模型上均优于单一智能体——增益来自协同结构,而非原始能力。

2026-06-03//6 min
INDIRECT INJECTION MEDIUM NEW

ChatInject:伪造聊天模板角色标签以绕过指令层级

一篇 ICLR 2026 论文表明,将间接注入载荷包裹进模型自身的聊天模板 token 可伪造高优先级角色,使 AgentDojo 上的攻击成功率从 5% 升至 32%,多轮变体更高达 52%。

2026-06-03//7 min
AGENTS MEDIUM NEW

ClawTrojan:被存储的提示注入演变为持久化的智能体后门

2026 年 5 月 29 日的一篇 arXiv 论文显示,藏在文件中的注入可被本地智能体存储并在日后执行——攻击成功率达 95.5%,而单轮注入几乎为零。

2026-06-03//5 min
RESEARCH LOW NEW

CyBiasBench:攻击型 LLM 智能体总在重复相同的攻击手法

2026 年 5 月的一项基准测试记录了 630 个攻击会话,发现攻击型网络场景中的 LLM 智能体会集中使用一小部分攻击家族——无论提示词如何变化。决定它们尝试什么的是偏好,而非能力。

2026-06-03//6 min
DEFENSE MEDIUM NEW

DataShield:当良性微调悄然侵蚀模型的安全性

2026 年 5 月 29 日的一篇 arXiv 论文表明,用无害数据微调一个已对齐的 LLM 仍会削弱其安全性,并提出 DataShield 在训练前识别出导致问题的样本。

2026-06-03//6 min
RESEARCH MEDIUM NEW

目标重构:唯一能促使 LLM 智能体利用预埋漏洞的提示词要素

一项 2026 年 4 月 6 日的 arXiv 研究在七个模型上进行了约 1 万次试验。多数「操纵」手法毫无效果——只有目标重构(例如「你正在解一道谜题」)能稳定地促使智能体利用漏洞。

2026-06-03//5 min
AGENTS MEDIUM NEW

Opus 4.8 系统卡为浏览器智能体的提示注入给出数字:31.5%

Anthropic 于 2026 年 5 月 28 日发布的 Claude Opus 4.8 系统卡,报告其浏览器智能体在防护措施前的劫持率为 31.5%——这是今年春季前沿实验室公布的唯一一项具体的提示注入指标。

2026-06-03//6 min
DEFENSE LOW NEW

SnapGuard:在智能体「看到」的画面里检测注入,而非它解析的文本

2026 年 4 月的一篇论文为基于截图的网页智能体提出轻量检测器——文本类防御在此处是盲的。它读取渲染后的像素(梯度稳定性 + 极性反转文本),每页约 1.81 秒。

2026-06-03//5 min
GOVERNANCE MEDIUM NEW

美国 AI 安全行政命令:漏洞协调中心与前沿模型审查

2026 年 6 月 2 日签署的美国《AI 创新与安全》行政命令,设立了联邦级 AI 漏洞协调中心,并对“受涵盖前沿模型”实行发布前 30 天的自愿审查。

2026-06-03//5 min
AGENTS CRITICAL NEW

CVE-2026-30615:提示注入改写 Windsurf 的 MCP 配置导致 RCE

OX Security 在 2026 年 4 月 15 日的公告显示,攻击者可控的内容可让 Windsurf IDE 注册恶意 MCP STDIO 服务器并执行命令——无需任何点击。该类问题涉及多款编码代理,但 CVE 归于 Windsurf。

2026-06-03//6 min
AGENTS MEDIUM NEW

脆弱的智能体:间接注入在多步工具调用中依然奏效

2026 年 4 月 4 日的一篇论文,在多步智能体环境下对 9 个模型测试了 6 种防御对抗 4 类间接注入向量 — 高级注入几乎绕过全部防御,部分表层缓解措施甚至适得其反。

2026-06-02//6 min
INDIRECT INJECTION MEDIUM NEW

IPI 竞技场:27.2 万次攻击,无一智能体模型幸免

Gray Swan 的间接提示注入竞技场由英国 AISI 与美国 CAISI 共同评审,对 13 个前沿模型发起逾 27.2 万次攻击。所有模型均被劫持——单一通用模板攻破了其中九个。

2026-06-02//7 min
AGENTS CRITICAL NEW

Langroid SQLChatAgent:从提示词到 SQL 注入再到 RCE(CVE-2026-25879)

2026 年 6 月 1 日披露的 CVE-2026-25879(CVSS 9.8)可让遭受提示词注入的 SQL 代理执行 COPY FROM PROGRAM 等原语,将聊天框变成数据库主机上的代码执行。

2026-06-02//6 min
RESEARCH MEDIUM NEW

LASM:用七层地图标出智能体攻击领先于防御的位置

一篇于 2026 年 5 月 6 日修订的 58 页综述,按层级与时间尺度重新整理了 116 篇论文中的智能体 AI 安全。该地图揭示了哪些地方已有攻击记录,却尚无对应的防御与基准测试。

2026-06-02//6 min
INFRASTRUCTURE CRITICAL NEW

LightLLM CVE-2026-26220:服务端强制对外暴露的 WebSocket 上的 pickle 反序列化

CVE-2026-26220(2026 年 2 月 15 日披露)将 pickle.loads() 置于 LightLLM prefill-decode 模式的两个未认证 WebSocket 端点上——而服务端拒绝绑定 localhost,因此攻击面始终面向网络。

2026-06-02//5 min
AGENTS MEDIUM NEW

MCP 采样:恶意服务器如何滥用反向 LLM 通道

MCP 的采样功能允许服务器向客户端的模型请求补全。Unit 42 在 2025 年 12 月展示了恶意服务器如何借此实现隐蔽的工具调用、会话劫持和算力盗用。

2026-06-02//6 min
AGENTS CRITICAL NEW

只需开口请求:Meta 的 AI 客服助手与 Instagram 账号劫持

2026 年 5 月 30 日至 31 日的周末,攻击者只是请求 Meta 的 AI 客服机器人为账号绑定一个新邮箱,便劫持了多个高知名度的 Instagram 账号。无需提示注入——仅仅是过度授权。

2026-06-02//6 min
DEFENSE LOW NEW

动态分隔符:强化多态提示拼装以抵御提示注入

2026 年 5 月 28 日的一篇 arXiv 论文通过为每次请求生成唯一的 SHA-256 分隔符,修复了多态提示拼装(PPA)的「波及范围」缺陷,将某一 payload 的攻击成功率从 0.88 降至 0.38。

2026-06-02//6 min
AGENTS MEDIUM NEW

别只盯着提示词:劫持智能体的推理与记忆

2026 年 4 月的论文 JailAgent 在不改动用户提示词的前提下,通过扰动智能体的推理轨迹与记忆检索,诱导其发起恶意工具调用。提示词从来都不是攻击面的全部。

2026-06-02//6 min
INDIRECT INJECTION MEDIUM NEW

Silent Egress:隐式提示注入借助 URL 预览悄然泄露数据

eBay 的一项研究(arXiv,2026 年 2 月 25 日)表明,自动预览 URL 的智能体可被诱导通过工具调用外泄其运行时上下文——P(egress)≈0.89,且 95% 的泄露发生时用户看到的回答完全正常。

2026-06-02//7 min
DEFENSE LOW NEW

别再只用攻击成功率来评估越狱防御

2026 年 5 月的一篇 IEEE S&P 论文指出,攻击成功率——该领域默认的指标——掩盖了越狱防御的真实表现。其提出的 Security Cube 从多个维度同时评估防御。

2026-06-02//5 min
DATA LEAK MEDIUM NEW

特洛伊河马:智能体记忆中的休眠载荷窃取你的数据

2026 年 5 月 3 日的一篇 arXiv 论文表明,一封精心构造的邮件即可在智能体的长期记忆中植入休眠载荷,它只在你日后谈及财务或健康时被唤醒,随后将这些数据外泄——成功率最高可达 100%。

2026-06-02//6 min
AGENTS CRITICAL NEW

TrustFall:项目级 MCP 设置把文件夹信任点击变成 RCE

TrustFall(Adversa AI,2026 年 5 月 7 日)显示四款智能体编码 CLI 会在开发者接受文件夹信任提示的瞬间自动启动项目定义的 MCP 服务器——本机一次按键,CI 中零点击。

2026-06-02//7 min
OFFENSIVE AI CRITICAL NEW

智能体掌舵:检测由 LLM 驱动的后渗透

2026 年 5 月 10 日,Sysdig 捕获到首例由 LLM 智能体实时驱动后渗透的入侵——从 marimo 上的 CVE-2026-39987 到完整转储 PostgreSQL,全程不到一小时。取证线索在于命令的形态。

2026-06-01//5 min
RED TEAM MEDIUM NEW

智能体化红队:一名操作员三小时内发起 674 次攻击

Dreadnode 在 2026 年 5 月发表的论文,把 AI 红队工具箱封装进一个能自主选择攻击、执行并评分的智能体——把数周压缩为数小时。真正值得关注的,是它对您评估体系的影响。

2026-06-01//7 min
RESEARCH MEDIUM NEW

AgentSecBench:在 LLM 智能体中,数据流不等于权限

2026 年 5 月 25 日发布的 AgentSecBench 将智能体安全形式化为不干涉性,并测试了六类防御。结论是:提示词文本只能描述边界,唯有来源投影、能力限制与输出校验才能强制执行边界。

2026-06-01//5 min
OFFENSIVE AI MEDIUM NEW

AI 编写的零日漏洞:GTIG 如何识别首个由模型构建的利用程序

2026 年 5 月 11 日,Google GTIG 披露了首个其认为由 AI 开发的零日漏洞——一个绕过 2FA 的脚本,因虚构的 CVSS 评分和教科书式的 docstring 而暴露。本文讲解如何解读这些迹象。

2026-06-01//5 min
DEFENSE MEDIUM NEW

因果归因:对抗间接提示注入的新兴防御

2026 年初的一批论文——CausalArmor 与 AttriGuard——通过追问哪些动作是由不可信内容、而非用户意图所导致,来防护具备工具调用能力的智能体。本文梳理这一因果归因防御路线。

2026-06-01//6 min
AGENTS CRITICAL NEW

CrewAI:沙箱静默降级让提示注入升级为远程代码执行(VU#221883)

CrewAI 的四个缺陷可将提示注入串联为 RCE、SSRF 与文件读取——其 Code Interpreter 会在脱离 Docker 时静默降级。CERT/CC 于 2026 年 5 月 20 日的更新确认已完整修复。

2026-06-01//5 min
AGENTS CRITICAL NEW

Flowise CVE-2026-40933:导入一个共享 chatflow 即可触发 RCE

Obsidian Security 2026 年 5 月 28 日的分析显示,Flowise 的 Custom MCP 节点如何把一份 stdio MCP 配置变成服务器端代码执行——以及仅仅导入一个共享 chatflow 就可能触发它,无需保存或运行。

2026-06-01//6 min
RESEARCH MEDIUM NEW

LITMUS:当智能体口头拒绝、文件却已被删除

2026年5月11日发布的一项基准测试,衡量 LLM 智能体在真实操作系统环境中的行为越狱,发现即便是 Claude Sonnet 4.6 也会执行 40.6% 的高危操作——有时还一边口头拒绝一边执行。

2026-06-01//7 min
DEFENSE LOW NEW

权衡三角:LLM 教学助手的提示注入防御

2026 年 5 月一项针对教育类 LLM 教学助手提示注入防御的基准测试量化了一个难以回避的事实:没有任何一种护栏能在鲁棒性、可用性和延迟上同时取胜。

2026-06-01//6 min
SIDE CHANNEL MEDIUM NEW

靠计时窃取提示词:多租户 LLM 中的前缀缓存旁路

共享前缀缓存让 LLM API 更快——也会泄露提示词。攻击者通过对首个 token 计时,可重建另一租户的提示词。2026 年 3 月的一篇论文在不牺牲性能的前提下完成防御。

2026-06-01//6 min
PROMPT INJECTION MEDIUM NEW

真实世界中的提示注入:LLM 简历筛选中的隐藏攻击

USENIX Security 2026 一项针对 196,682 份真实简历的研究发现,约 1% 含有隐藏的提示注入,且超过 90% 是不可见的『数据注入』,而非现有检测器所寻找的显式指令。

2026-06-01//5 min
DEFENSE LOW NEW

越狱会留下痕迹:在大语言模型内部激活中检测攻击

2026 年 2 月的一篇论文及其 3 月的后续工作表明,越狱提示会在模型的隐藏激活中刻下可辨识的特征——从而能够在推理时检测,无需微调,也无需辅助的裁判模型。

2026-06-01//6 min
AGENTS MEDIUM NEW

令牌耗尽攻击:通过智能体工具链发起的经济型拒绝服务

2026 年的两篇论文显示,恶意工具或技能可将 LLM 智能体诱入冗长的工具调用循环,在仍返回正确答案的同时将令牌成本放大 6 至 658 倍——这是 OWASP「无限消耗」风险的一种隐蔽变体。

2026-06-01//7 min
AGENTS CRITICAL NEW

SymJack:一次被批准的文件复制变成六款 AI 编码助手中的 RCE

Adversa AI 于 2026 年 5 月 26 日披露了一种符号链接劫持模式,只需一次看似无害的 shell 复制命令,就能在 Claude Code、Cursor、Gemini、Antigravity、Copilot、Grok Build 和 Codex CLI 上覆写配置并在主机获得 RCE。

2026-05-30//6 min
RESEARCH MEDIUM NEW

智能体与人的安全鸿沟:生产环境部署的与论文研究的

UCLA 团队 2026 年 5 月 23 日发表的论文审计了 59 项学术研究、21 个生产环境智能体系统和 26 个安全插件,发现研究者偏爱的防御方案在生产中部署为零。

2026-05-29//7 min
RESEARCH MEDIUM NEW

自治税:防御训练如何毁掉 LLM 智能体

2026 年 3 月 19 日 USC 的一篇论文衡量了提示注入防御训练对智能体能力的代价 —— 被防御模型在 99% 的任务中超时,而基线只有 13%。

2026-05-29//7 min
AGENTS MEDIUM NEW

Blindfold:动作级越狱绕过具身 LLM 的语义防御

SenSys '26 论文(2026 年 5 月 11–14 日)提出 Blindfold,一种通过将恶意目标拆解为单独看似无害的动作来越狱具身 LLM 的自动化框架——在真实 6-DoF 机械臂上将攻击成功率较语义级基线提高最多 53%。

2026-05-29//6 min
RESEARCH MEDIUM NEW

Proprietary Problems:思科对 15 个闭源前沿模型的成对评测显示,单轮安全分数遗漏了大部分多轮风险

2026 年 5 月 27 日,思科发布了对 OpenAI、Anthropic、Google、Amazon 与 xAI 旗下 15 个闭源旗舰模型的研究,多轮攻击成功率介于 7.89% 至 88.30% 之间,与单轮基线相比差距最高可达 55 个百分点。

2026-05-29//8 min
RESEARCH MEDIUM NEW

衡量大语言模型的漏洞利用能力:ExploitBench、ExploitGym 与 SCONE-bench

2026 年 5 月 22 日,Anthropic 公布了 Mythos Preview 在三个新漏洞利用基准上的成绩。这些数字以及基准对漏洞利用链的分解方式,正在改变防御者对前沿攻击能力的思考方式。

2026-05-29//8 min
DEFENSE MEDIUM NEW

MCP 需要一次信任握手:基于证明的工具服务器准入

2026 年 5 月 22 日的一篇 arXiv 论文提出 mcp-attested ——一个向后兼容的 MCP 扩展,它在工具分发之前要求签名的准入断言、默认拒绝的白名单和防篡改审计日志。

2026-05-29//7 min
INFRASTRUCTURE CRITICAL NEW

MCPwn (CVE-2026-33032):nginx-ui 的 MCP 接口拱手让出整个 Web 服务器

nginx-ui ≤ 2.3.3 的一个未鉴权 MCP 接口允许任意网络攻击者改写 nginx 配置并重启服务。CVSS 9.8,2026 年 4 月 15 日公开披露,补丁发布数小时内就在野利用。

2026-05-29//6 min
AGENTS MEDIUM NEW

MemMorph:通过流畅的记忆投毒劫持 LLM 智能体的工具调用

2026 年 5 月 24 日,新加坡南洋理工大学在 arXiv 发表论文,证明仅需三条看似合理的记忆条目,即可以 85.9% 的成功率将智能体引向攻击者选定的工具,且能绕过三种现成防御。

2026-05-29//6 min
DEFENSE MEDIUM NEW

百万暴露的 AI 服务:Intruder 扫描究竟发现了什么

2026 年 5 月 5 日,Intruder 公布了一次互联网范围扫描结果,在 200 万台主机上识别出 100 万个暴露的 AI 服务。反复出现的缺陷并不奇特:就是默认配置过于宽松。

2026-05-29//9 min
ADVERSARIAL MEDIUM NEW

SilentRetrieval:能绕过困惑度过滤的流畅 RAG 语料投毒

2026 年 5 月 27 日 arXiv 预印本提出一种两阶段攻击,将劫持触发器隐藏在流畅文档中,在 Natural Questions 和 MS MARCO 上以每查询一份投毒文档实现 57% 的 LLM 攻击成功率。

2026-05-29//6 min
SUPPLY CHAIN MEDIUM NEW

2026 年的 Slopsquatting:五个前沿大模型同时幻觉出的 127 个软件包名

2026 年 5 月 16 日 arXiv 上发布的复现研究表明,前沿模型的包幻觉率较 2024 年下降了约一个数量级,但仍识别出 127 个所有被测模型同时凭空捏造的相同包名,构成一种与具体模型无关的供应链攻击面。

2026-05-29//7 min
DEFENSE MEDIUM NEW

WARD:共同演化的护栏模型,抵御针对Web代理的自适应提示注入

新加坡国立大学2026年5月14日发布的论文提出WARD——一个由带记忆的对抗性攻击者训练而成的护栏模型,在Web代理提示注入的分布外基准上报告接近完美的召回率。

2026-05-29//8 min
AGENTS MEDIUM NEW

智能体的 harness 才是真正的特权边界 — 而大多数团队都把这条边界划错了位置

Pillar Security 在 2026 年 5 月 26 日的分析指出:harness — Claude Code、Cursor、Codex — 持有智能体永远看不到的密钥、工具与 hook。近期 harness 层的 bug 与 CVE-2026-22708 将这一观点落到了实处。

2026-05-28//8 min
GOVERNANCE MEDIUM

CISA 与五眼联盟发布首份针对智能体 AI 部署的联合指引

2026 年 5 月 1 日,CISA、NSA 与五眼联盟各网络安全机构联合发布《Careful Adoption of Agentic AI Services》——一套五类风险分类法与一份部署手册,关键基础设施运营方需将其纳入现有网络安全框架。

2026-05-28//8 分钟
AGENTS CRITICAL NEW

Microsoft Copilot Cowork:被污染的 Skill 文件无需审批即可外泄 M365 文档

PromptArmor 于 2026 年 5 月 26 日披露:在 Copilot Cowork 的 skill 文件中植入五行提示注入,即可通过自动批准的 Teams 消息泄露 SharePoint 与 OneDrive 文档,目前没有补丁修复该设计缺陷。

2026-05-28//8 min
MULTIMODAL MEDIUM

CrossMPI:仅靠图像的提示注入操纵视觉语言模型的阅读与观看

西安电子科技大学团队于 2026 年 5 月 15 日在 arXiv 发布的论文提出 CrossMPI:不可察觉的图像扰动改变视觉语言模型对图像和用户文本指令的联合理解,在五个 LVLM 上平均成功率达 66%。

2026-05-28//7 min
INDIRECT INJECTION MEDIUM NEW

GrafanaGhost:间接提示注入与 URL 解析漏洞结合,导致仪表盘数据外泄

Noma Security 于 2026 年 4 月 7 日披露的三个微小缺陷——一个存储型注入点、一处 startsWith('/') URL 校验,以及一个单词级的护栏绕过——共同构成了通过 Grafana AI 助手悄然外泄数据的链条。

2026-05-28//6 分钟
INDIRECT INJECTION MEDIUM NEW

IterInject:当 LLM 自己为间接提示注入做优化

2026 年 5 月 23 日的一篇论文,把载荷 / 诊断器 / LLM 优化器三者闭环 — 在 InjecAgent 上的间接注入 ASR 从近零升至 33–90%,在 Claude Code 上 9 个目标中有 5 个被攻破。

2026-05-28//6 min
GOVERNANCE MEDIUM NEW

NSA AISC 发布生产 AI 中 MCP 安全设计指南

2026 年 5 月 20 日,美国 NSA 人工智能安全中心发布了一份关于 Model Context Protocol 的 15 页《网络安全信息表》:八类弱点、五起真实事件、九条防御性建议。

2026-05-28//9 分钟
SUPPLY CHAIN MEDIUM

pgAdmin 4 新增 LLM 面板,附带一组经典的 LFI+SSRF(CVE-2026-7817)

pgAdmin 4 9.15 修复了新 LLM API 配置端点中的认证型 LFI 和 SSRF。漏洞类别已有四十年历史,攻击面却是全新的。

2026-05-28//7 min
RESEARCH MEDIUM

毒化瞭望塔:当 SOC 副驾驶读取由攻击者控制的日志

2026 年 5 月 23 日的一篇论文形式化了日志载体提示注入——通过日志字段中的对抗性内容操纵 SOC 的 LLM 助手。最强防御仍平均放过 11.8% 的注入。

2026-05-28//8 分钟
JAILBREAK MEDIUM NEW

Sockpuppeting:一行 prefill 越狱 11 个生产级大模型

在请求的最后一条消息中以 assistant 角色注入一行文本,即可让 10 个主流模型中的 7 个生成有害内容。真正的修复并不在模型一侧,而是 API 层对消息顺序的校验。

2026-05-28//8 分钟
AGENTS MEDIUM NEW

时序记忆污染:配备记忆的 LLM 智能体的纵向安全漂移

2026 年 4 月与 5 月的三篇 arXiv 论文共同指向了一种与记忆投毒互补的失效模式 — 配备记忆的智能体随着良性上下文的累积而逐渐变得不安全,被压缩的摘要充当了清洗通道。

2026-05-28//9 min
GOVERNANCE MEDIUM NEW

压力:开源安全团队在 AI 辅助漏洞洪流下的处境

2026 年 5 月 26 日,curl 项目主开发者 Daniel Stenberg 发表《The pressure》:平均每天超过一份可信安全报告,半个发布周期已确认 12 个 CVE,其他维护者也在同步证实这一趋势。

2026-05-28//8 min
AGENTS MEDIUM

智能体网络以新方式失效:微软的红队演练,以及 RAMPART 与 Clarity

微软研究院对一个包含 100 多个常驻智能体的内部平台进行了红队测试。四种攻击模式——传播、放大、信任劫持、代理链——只在网络层面显现。2026 年 5 月 20 日开源的 RAMPART 与 Clarity 是相应的回应。

2026-05-27//9 分钟
AGENTS CRITICAL

Antigravity find_by_name:当原生工具调用跳过 Secure Mode

2026 年 4 月 20 日,Pillar Security 披露 Google Antigravity 的 find_by_name 工具中一个未净化的参数将文件搜索变成任意代码执行——并绕过了该 IDE 最严格的沙箱。

2026-05-27//9 分钟
OFFENSIVE AI MEDIUM

苹果 2026 年 5 月公告正式致谢 Claude 协助发现两个 macOS CVE

2026 年 5 月 11 日,苹果 macOS Tahoe 26.5 安全公告在两个 CVE 中列出 Claude 与其研究者并列——一个内核整数溢出和一个 WebKit 释放后使用漏洞。AI 辅助漏洞研究已正式出现在厂商更新日志中。

2026-05-27//6 min
INFRASTRUCTURE CRITICAL

BadHost(CVE-2026-48710):Host 头中一个字符即可绕过 Starlette、vLLM 与 FastMCP 的鉴权

X41 D-Sec 于 2026 年 5 月 22 日披露 Starlette < 1.0.1 中的关键鉴权绕过。HTTP Host 头中仅插入一个 /、? 或 # 字符,即可使实际路由的路径与中间件看到的路径产生不一致,导致 vLLM、LiteLLM、FastMCP 及成千上万基于 FastAPI 的 AI 智能体的基于路径的授权失效。

2026-05-27//8 分钟
DATA LEAK CRITICAL

Bleeding Llama:GGUF 解析漏洞向未认证攻击者泄露 Ollama 进程内存

2026 年 5 月公开披露、由 Cyera 命名为 Bleeding Llama 的 CVE-2026-7482 漏洞,允许远程攻击者通过三次未认证的 API 调用,从 Ollama 服务器堆中提取任意片段——API 密钥、系统提示、其他用户的对话。静默补丁早在 CVE 编号分配前 2.5 个月就已发布。

2026-05-27//8 min
AGENTS CRITICAL

ClaudeBleed:当浏览器智能体信任了错误的扩展

LayerX 于 2026 年 5 月 6 日披露了 ClaudeBleed:一处信任边界缺陷使任意 Chrome 扩展都能操控 Claude in Chrome,并外泄 Gmail、Drive 和 GitHub 数据。首个补丁在数小时内即被绕过。

2026-05-27//7 min
PROMPT INJECTION CRITICAL

编码型提示注入:当 LLM 自己解码 payload,护栏就失效了

2026 年 5 月 4 日,一条用摩尔斯电码写成的推文,从 Grok 控制的加密钱包里转走了约 17.5 万美元。这是迄今最昂贵的一次公开演示,揭示了一个已知的防御盲点:基于字符串匹配的护栏看不穿那些模型本身乐于解码的编码。

2026-05-27//8 min
OFFENSIVE AI MEDIUM

第一波 CVE 浪潮:AI 辅助漏洞发现正在重塑披露体量

VulnCheck 2026 年 5 月 14 日的分析显示,今年至今 Chrome CVE 增加 +563%、GitHub +476%、VMware +180%、Apache +170%。苹果、Mozilla 与 ActiveMQ 头条背后的系统性转折,如今已显现在数据中。

2026-05-27//7 min
PROMPT INJECTION MEDIUM

字体映射提示注入:当同行评审变成 LLM 的攻击面

2026 年 5 月 25 日的 arXiv 基准测试显示,通过字体映射隐藏的载荷可以将 LLM 的审稿意见从拒稿翻转为接受。ICML 2026 已经用同一手法的镜像版桌拒了 497 篇论文。

2026-05-27//8 min
AGENTS CRITICAL

MCP 的 STDIO 传输:一个引发 11 个 CVE、暴露 20 万个代理的设计决定

2026 年 4 月 16 日,OX Security 披露 Anthropic 设计的 MCP STDIO 传输会直接执行收到的任何操作系统命令。Anthropic 称之为「按设计如此」。在六周内,这一缺陷已派生出十一个下游 CVE。

2026-05-27//8 min
RESEARCH MEDIUM

MultiBreak:1.04 万条多轮提示揭示对话式越狱如何绕过 LLM 安全对齐

2026 年 5 月 3 日发表的 ICML 2026 论文公开了目前规模最大、最具多样性的多轮越狱基准。它记录到相对于此前最佳数据集,DeepSeek-R1-7B 上的攻击成功率差距高达 54 个百分点,GPT-4.1-mini 上达 34.6 个百分点,并量化了单轮对齐如何在多轮场景中坍塌。

2026-05-27//8 min
AGENTS CRITICAL

当提示变成 shell:智能体框架中从提示注入到 RCE 的攻击链

2026 年初披露的两个 Microsoft Semantic Kernel CVE 和四个 CrewAI CVE,将一次提示注入转化为宿主机上的远程代码执行。该模式是结构性的,而非偶发。

2026-05-27//7 min
RESEARCH LOW

Teaching Claude Why:Anthropic 如何把代理失准率降到零

2026 年 5 月 8 日,Anthropic 的 Alignment Science 团队发布了一项案例研究,显示让 Claude「解释」其伦理推理,而不仅仅是「演示」之,可将代理失准率从 96% 降至不足 1%。

2026-05-27//8 min
AGENTS MEDIUM

投毒一次,长期受害:LLM Agent 持久性记忆投毒(OWASP ASI06)

2026 年 4 月的一篇 arXiv 论文讨论跨站记忆投毒,5 月 13 日的 OWASP 博客介绍 Cisco 对 Claude Code 的 MemoryTrap 发现——两者得出同一个结论:Agent 的记忆本身就是一条信任边界。

2026-05-26//8 min
AGENTS MEDIUM

像保护操作系统一样保护 AI 智能体:CISPA 给出的设计蓝图

2026 年 5 月 14 日,CISPA 的一篇论文将数十年的操作系统安全经验移植到 LLM 智能体上。对四个 OpenClaw 类系统的测试显示:跨用户数据外泄与未授权出网这两类弱点,在每一个被测系统上都失守。

2026-05-26//8 min
OFFENSIVE AI CRITICAL

AI 辅助的 ICS 攻击:蒙特雷供水公司入侵事件的教训

Dragos 在 2026 年 5 月发布的关于 Servicios de Agua y Drenaje de Monterrey 的报告,记录了首个公开分析的、由商用 LLM(Claude)作为主要技术执行者发起的 OT 入侵尝试。

2026-05-26//8 min
MULTIMODAL CRITICAL

AudioHijack:不可感知音频劫持语音智能体(IEEE S&P 2026)

一篇 2026 年 4 月 16 日的 IEEE S&P 论文提出听觉 prompt 注入:隐藏在音频中的对抗性混响驱动 13 种大型音频-语言模型以及 Mistral AI 与 Microsoft Azure 等商用语音智能体执行未经授权的操作,平均成功率 79%-96%。

2026-05-26//7 min
INDIRECT INJECTION MEDIUM

Discourse AI XSS 漏洞(CVE-2026-27740):当 LLM 输出被当作可信 HTML 渲染

一条被举报的帖子、一个 AI 审核员、一次 htmlSafe 调用。Discourse AI 插件将 LLM 输出视为可信标记,使间接提示注入演变为针对管理员的 XSS。2026 年 3 月 19 日公开。

2026-05-26//7 min
AGENTS CRITICAL

致命三要素:当智能体同时能读私有数据、接收不可信内容并对外通信

Simon Willison 提出的框架,揭示了为什么 2026 年 AI 智能体数据外泄事件并非偶发,而是同一个架构错误所致。

2026-05-26//7 min
AGENTS MEDIUM

MCP 后端漏洞:经典缺陷在 AI 与数据库桥接层卷土重来

Akamai 于 2026 年 5 月 12 日发布的研究记录了三个 MCP 服务器中的 SQL 注入(CVE-2025-66335)、缺失认证与未净化输入——涉及 Apache Doris、Apache Pinot 和 Alibaba RDS。重点不在单个漏洞,而在背后的模式。

2026-05-26//8 min
OFFENSIVE AI MEDIUM

OpenAI Daybreak 与 GPT-5.5-Cyber:身份核验闸门背后的「宽松」安全模型

2026 年 5 月 7 日至 12 日,OpenAI 发布了 Daybreak —— 一个由 GPT-5.5、Codex Security 与「网络安全宽松版」GPT-5.5-Cyber 共同支撑的网络安全平台。英国 AISI 此前在六小时内发现了一个通用越狱。

2026-05-26//8 min
DEFENSE MEDIUM

Project Glasswing:Claude Mythos 一个月内发现逾 1 万个严重漏洞

Anthropic 于 2026 年 5 月 26 日发布的阶段性更新显示,Project Glasswing 的约 50 家合作伙伴使用 Claude Mythos Preview 共发现了 1 万余个高危或严重漏洞,其中包括 Firefox 150 修复的 271 个潜伏缺陷。

2026-05-26//8 min
AGENTS CRITICAL

Semantic Kernel:当一个 prompt 变成 shell(CVE-2026-25592、CVE-2026-26030)

微软于 2026 年 5 月 7 日披露 Semantic Kernel 中两个关键漏洞,可将单条注入式 prompt 转化为宿主级代码执行。根因在于架构层面:工具注册表和 eval() 被当作便利特性,而非安全边界。

2026-05-26//7 min
SUPPLY CHAIN MEDIUM

SKILL.md 中的隐藏触发器:针对 Agent Skill 注册表的语义供应链攻击

马里兰大学 2026 年 5 月 12 日发表的论文表明:在 SKILL.md 文件中添加约 20 个 token,即可让 Agent 在 77–86% 的试验中发现并选择对抗性 skill,并以最高 100% 的概率绕过注册表的扫描。

2026-05-26//8 min
AGENTS MEDIUM

Trust No Tool:通过工具反馈对 LLM 智能体进行认知投毒

2026 年 5 月 17 日的一篇 arXiv 论文提出了“认知投毒”概念——恶意工具在多轮看似正常的交互中赢得智能体信任,仅在最终动作时才发动攻击。防御目标从提示词转向交互轨迹。

2026-05-26//8 min
ADVERSARIAL MEDIUM

Usability as a Weapon:一句“优化”请求让代码 LLM 默默丢失安全约束

2026 年 5 月 11 日的 arXiv 论文显示,向代码 LLM 请求“更快”、“更简洁”或“再加一个功能”会悄悄移除安全防护。UPAttack 在 GPT-5.2-chat 与 Gemini-3 上达到 98.1% 成功率。

2026-05-26//8 min
DEFENSE MEDIUM

Agents Rule of Two:Meta 应对 Prompt Injection 的务实方案

Meta 于 2025 年 10 月 31 日发布、并在 2026 年 5 月 Databricks 指南中被重新采用的 Agents Rule of Two,将单次智能体会话限制在三项风险属性中的两项 —— 在 prompt injection 仍未被解决之前,这是最具可操作性的框架。

2026-05-25//6 min
AGENTS CRITICAL

CVE-2026-35435:Azure AI Foundry 在 M365 中发布的智能体信任了本不该信任的调用方

2026 年 5 月 7 日公开(CVSS 8.6),Azure AI Foundry 的一个访问控制缺陷允许未授权攻击者通过 M365 已发布智能体提升权限。微软报告该漏洞已被野外利用;补丁发布前已提供缓解措施。

2026-05-25//6 min
AGENTS CRITICAL

Azure SRE Agent:一项多租户令牌校验让陌生人围观您的故障处置(CVE-2026-32173)

2026 年 4 月 20 日披露:Azure SRE Agent 的 /agentHub WebSocket 上 Entra ID 应用注册的多租户配置失误,让任意租户都能接入并静默旁听每条提示词、推理步骤、CLI 命令和凭据。

2026-05-25//8 min
AGENTS CRITICAL

Claw Chain:四个 OpenClaw 漏洞如何把 AI 智能体变成攻击者的双手

Cyera Research 于 2026 年 5 月 15 日公开披露的 Claw Chain,将四个已修复的 OpenClaw 漏洞——沙箱逃逸、环境变量泄露、MCP 回环提权、符号链接读取逃逸——串成一条经由智能体本身完成的主机完全接管链。

2026-05-25//8 min
AGENTS CRITICAL

Comment and Control:一种提示注入模式,三家厂商的 GitHub Actions 密钥同时泄露

2026 年 4 月 15 日披露的 Comment and Control 攻击将 PR 标题、Issue 评论和 HTML 注释变成了 Claude Code、Gemini CLI 与 GitHub Copilot Agent 的凭据外泄通道。

2026-05-25//8 min
RESEARCH MEDIUM

情境完整性:提示注入防御为何始终失效

Abdelnabi 与 Bagdasarian 在 2026 年 5 月发布的论文以情境完整性重新审视提示注入,指出数据与指令分离本身就是一种范畴错误。

2026-05-25//7 min
PROMPT INJECTION CRITICAL

Copirate 365:在 M365 Copilot 中串联提示注入、延迟工具调用与长期记忆劫持(CVE-2026-24299)

Johann Rehberger 于 2026 年 5 月发布的 DEF CON 复盘文章,描述了一条五阶段的间接提示注入链:仅凭一封带陷阱的邮件,即可在 Microsoft 365 Copilot 中植入持久后门。漏洞已修复,但所用模式具有普遍意义。

2026-05-25//7 min
INDIRECT INJECTION MEDIUM

野外的间接提示注入:2026年4月三项研究殊途同归

Google、Forcepoint 与 CISPA 于 2026 年 4 月分别完成对开放网络中间接提示注入的测量。结论:15 000 余条已验证载荷,32% 的环比增长,组织化模板。

2026-05-25//7 分钟
INFRASTRUCTURE CRITICAL

LiteLLM CVE-2026-42208:AI 网关中的未授权 SQL 注入

2026 年 4 月 20 日披露,全球公告索引后 36 小时即遭利用。CVE-2026-42208 将 LiteLLM 的 Authorization 头部变成对网关所代理的每一个上游模型凭据的直接读取入口。

2026-05-25//6 min
RESEARCH MEDIUM

当攻击者也是大模型:大型推理模型作为自主越狱代理

2026 年 5 月正式发表于《Nature Communications》的论文显示,四个推理模型 —— DeepSeek-R1、Gemini 2.5 Flash、Grok 3 Mini 与 Qwen3 235B —— 仅凭一段系统提示,即可对九个目标 LLM 发起越狱,总体成功率达到 97.14%。

2026-05-25//6 min
JAILBREAK MEDIUM

数学编码越狱:当集合论绕过大语言模型安全防线

2026年5月5日发布的一篇arXiv论文表明,将有害提示重写为集合论或形式逻辑问题,可在八个前沿模型上以46%–56%的成功率绕过安全训练——但前提是由辅助大语言模型完成深度重写。

2026-05-25//8 分钟
AGENTS CRITICAL

PraisonAI CVE-2026-44338:未鉴权的智能体服务器,披露3小时44分后即被利用

2026年5月11日披露的 CVE-2026-44338,使 PraisonAI 的旧版 API 服务器默认硬编码关闭了身份认证。不到四小时,CVE-Detector 扫描器即开始探测该端点。

2026-05-25//6 min
INDIRECT INJECTION MEDIUM

ShareLeak (CVE-2026-21520):微软首次为 Copilot 提示注入分配的 CVE

Capsule Security 于 2026 年 4 月 15 日披露的 ShareLeak 报告,详述了 Microsoft Copilot Studio 中的一处间接提示注入。微软分配了 CVE-2026-21520 (CVSS 7.5),这是行业上将提示注入正式纳入受跟踪漏洞类别的标志性事件。

2026-05-25//8 分钟
DEFENSE MEDIUM

ARGUS:基于影响溯源图的上下文感知提示注入防御

2026 年 5 月 5 日发布的 ARGUS 论文提出了针对 LLM 代理的影响溯源审计——在新基准上将攻击成功率从 28.8% 降至 3.8%。

2026-05-22//7 min
DEFENSE MEDIUM

指令层级:训练大语言模型优先执行高权限指令

OpenAI 在 2024 年的论文提出了一种对抗提示注入的结构性防御:让模型理解 系统 > 用户 > 工具输出 的优先关系。这一思路已成为 GPT-4o-mini 和 o 系列安全训练的核心。

2026-05-22//8 min
INFRASTRUCTURE CRITICAL

LMDeploy SSRF:当图像加载器劫持整个 AI 推理基础设施

CVE-2026-33626 将 LMDeploy 的 load_image() 变成了通用 SSRF 原语。安全公告公开 12 小时 31 分后,蜜罐就捕获到首次实战利用。

2026-05-22//6 min
AGENTS CRITICAL

本地代理劫持:针对 AI 编码代理的跨源 WebSocket 攻击

2026 年 5 月 7 日披露的 CVE-2026-44211(CVSS 9.7)表明,仅需访问一个恶意网页,就可能劫持运行在开发者笔记本上的 AI 编码代理。该攻击类别具有通用性,本质上是架构层面的问题。

2026-05-22//8 min
SUPPLY CHAIN CRITICAL

Mini Shai-Hulud:瞄准 AI 工具链的供应链蠕虫

2026 年 5 月 11 日至 18 日披露的 Mini Shai-Hulud 蠕虫污染了 170 多个 npm 与 PyPI 软件包——包括 Mistral AI、Guardrails AI 和 TanStack——并在 Claude Code 与 VS Code 中植入持久化。

2026-05-22//7 min
DEFENSE MEDIUM

输出过滤胜过模型自防御:两万次自适应攻击,只有一个幸存者

于2026年4月26日发布、5月12日修订的一篇Swept AI与密歇根大学论文,以自适应攻击者对抗九种提示注入防御。所有依赖模型自身的防御最终都被攻破。仅有运行在应用层的输出过滤经受住了考验——在15 000次攻击中实现零泄漏。

2026-05-22//6 min
AGENTS CRITICAL

提示词即 shell:智能体框架中提示注入升级为 RCE

Microsoft Semantic Kernel 于 2026 年 5 月 7 日披露的两个 CVE(CVE-2026-25592、CVE-2026-26030)展示了一段被注入的提示如何从文本直接升级为智能体宿主上的远程代码执行。

2026-05-22//9 min
PROMPT INJECTION CRITICAL

ASCII 走私:通过 Unicode Tag 字符隐藏命令

Unicode Tag 字符(U+E0000–U+E007F)对人类不可见,但 LLM 会解析。攻击者将其嵌入邮件、网页和 PDF 中以注入隐形命令,劫持代理行为。

2026-05-19//8 分钟
JAILBREAK CRITICAL

Many-shot 越狱:用 256 个示例绕过任何对齐

Anthropic 研究人员表明,用 256 个虚假 Q&A 示例填充上下文窗口可以可靠地绕过安全训练。更大的上下文 = 更大的攻击面。

2026-05-15//6 分钟
DATA LEAK CRITICAL

通过重复攻击提取系统提示

让模型'永远重复诗这个词'最终会使其转储训练数据和系统提示。在 Claude 3、GPT-4 和 Gemini 上均有记录。

2026-05-10//4 分钟
RESEARCH LOW

潜伏代理:能在安全训练中存活的隐藏后门

Anthropic 证明,使用隐藏触发短语训练的模型即使在标准 RLHF 安全训练后仍保留后门行为。对开放权重 LLM 的影响重大。

2026-05-03//14 分钟