系统:运行中
← 返回所有攻击
AGENTS CRITICAL NEW

智能体红队工具可能被其攻击目标反向劫持

2026 年 6 月的一项研究审计了 12 款智能体攻防工具,表明攻击目标可以反客为主:窃取 API 密钥并在操作者本机上执行代码,即使智能体运行在沙箱中。

2026-07-08 // 7 min affects: pentestgpt, cai, redamon, claude-opus-4.8, gpt-5.5, gemini-3.1-pro

这是什么?

2026 年 6 月 23 日,Cracken 的 Dario Pasquini 及其同事(并有一位来自利沃夫理工国立大学的合作者)发表了 Red-Teaming the Agentic Red-Team(arXiv:2606.24496)。这是首次对如今许多从业者用来自动化进攻性安全的工具所做的深入安全分析:这类智能体化的渗透测试与红队系统在几乎无需人工介入的情况下驱动侦察、利用与后渗透。

结论令人不安:这些工具自身的防御非常薄弱。在 12 款被广泛使用的系统中——包括 CAI、RedAmon、PentestAgent、DarkMoon、PentAGI、AIRecon、PentestGPT、METATRON、nebula、xalgorix、Artemis 和 STRIX——作者表明,一个控制了操作目标的对手可以反客为主:窃取操作者的 LLM API 密钥、植入持久化立足点,并最终攻陷操作者自己的机器,即便该智能体运行在沙箱容器中。本文属于漏洞类别分析,而非发布可用载荷。

工作原理

操纵从智能体最意想不到的地方开始:正是它所攻击的系统的输出。进攻型智能体会把命令结果、抓取的页面和服务标语重新注入其 LLM 上下文。返回构造内容的目标可以引导智能体的推理——不是通过显式的”忽略之前的指令”字符串,而是通过上下文欺骗与奖励劫持(reward hacking)。论文描述了一种无需提示注入的操纵,即使在 Claude Opus 4.8、GPT-5.5 和 Gemini 3.1 Pro 等前沿模型上,也能在智能体的 worker 上实现近乎确定性的代码执行;它借鉴了反病毒规避技术,把恶意行为伪装成迈向智能体目标的合法步骤。

作者将这种升级抽象为一条为这类工具量身定制的杀伤链(kill chain):初始 LLM 操纵、在 worker 上执行代码、横向移动、持久化、绕过护栏、逃逸沙箱,最终攻陷主机。两处反复出现的架构弱点造成了大部分损害。其一是文件系统隔离薄弱:许多工具在低信任的 worker 与较高信任的编排器(orchestrator)之间共享一个可写目录(bind mount 或 Docker 卷),因此能够在 worker 中执行代码的攻击者可以对编排器随后加载的活动源文件进行木马化——形成硬持久化并打开横向移动之路。其二是网络隔离薄弱、通道过宽:本应只供界面使用的编排 API 可从 worker 访问到,而解析 worker 输出的编排器代码则暴露于经典注入缺陷——shell 元字符、模板转义、不安全的反序列化——从而把数据通道变成远程代码执行。

为何重要

进攻性安全智能体运行时拥有异常危险的权限:广泛的网络可达性、有价值的 API 密钥,以及操作者的隐式信任。而且按设计,它们终其一生都在摄取受攻击者控制的数据。这是被推向逻辑极端的致命三要素(lethal trifecta),也意味着 worker 周围的沙箱并非人们所假设的安全边界——论文表明,在大多数受测工具中,无论是否沙箱化,主机攻陷都是可达的。对任何将这些系统部署去对抗真实对手的人——红队、MSSP,以及越来越多进行威胁模拟的防御方——一个设有陷阱的目标不再是假设。在通用智能体框架中观察到的同一条从提示注入到 RCE 的路径在此同样适用,只不过多了一个转折:攻击者本就拥有智能体被命令去攻击的那个环境。

防御

论文的核心教训是架构性的:不要再假设 LLM 会可靠地拒绝恶意,而应在框架(harness)中强制一条严格的权限边界。把 worker 产生的每一个字节都当作不可信输入,在其到达编排器之前加以审查。具体而言,作者建议将编排器与 worker 置于相互独立的操作系统/容器与网络分段中,仅开放必需的最少端口;彻底避免共享文件系统挂载,改为让产物经由单一、范围收窄且可审计的通道(带人工审批或内容检查)传递,而非共享目录;并保持编排层无工具(tool-free),把一切命令执行都委派给 worker,使被攻陷的 worker 无法向上枢转。像对待任何处理敌意输入的解析器那样,加固命令-响应通道以防注入,并在每次操作时重建 worker 容器,使持久化无法幸存。最小权限——而非对模型对齐的乐观信任——才是承重原则。这些控制呼应了一个更广的观点:执行代码的智能体中的沙箱逃逸是系统问题,而非模型问题。

状态

Red-Teaming the Agentic Red-Team 是一篇研究性披露(arXiv:2606.24496,发表于 2026 年 6 月 23 日),覆盖 12 款具名工具;作者按工具汇总了攻击者能力,并提出了一套参考性的安全架构,而非发布武器化利用。没有单一 CVE——其贡献在于一套共享的设计缺陷分类法和一份防御蓝图。任何使用智能体化进攻性工具的团队都应立即对照论文的杀伤链审计自身部署:核实 worker/编排器隔离、移除共享挂载,并确认敌意目标无法触及一次性 worker 沙箱之外的任何东西。

Sources