Straiker STAR Labs:1700 次智能体攻击揭示了什么
一份厂商威胁报告对生产环境中的编码、生产力与自建智能体发起真实攻击。不同部署类型的攻击结果差异明显,但防御经验具有普遍意义。
这是什么?
2026 年 7 月 14 日,Straiker 旗下的 STAR Labs 研究团队发布了其威胁报告的第一卷。研究人员针对生产环境中的 AI 智能体运行了数千个对抗场景,覆盖三类部署——编码智能体、生产力与浏览器智能体,以及企业自建的智能体——共记录到超过 1700 次成功利用。
报告的价值不在于某一项具体技术,而在于它按智能体运行位置对成功攻击究竟能达成什么所做的拆解。需先声明一点:这些是厂商公布的数据,来自一家以销售智能体安全为业务的公司,且未经独立复现。应将其视为攻击面形态的方向性信号,而非已成定论的行业统计。
工作原理
报告按部署方式对智能体分组,并为每一类报告了不同的影响特征。
编码智能体——在开发者机器上读写代码的工具,报告将 Cursor、Claude Code 与 GitHub Copilot 列入范围。在此类成功攻击中,36% 在开发者本机上实现了远程代码执行——正是那台保存源代码和云凭据的机器。在一次概念验证中,团队购买了赞助广告,使其排名超过合法的安装页面,从而窃取编码智能体的凭据——这提醒我们,安装与上手流程本身就是一个攻击面,而非可供复现的操作手册。
生产力智能体——嵌入日常工作的助手与浏览器智能体(报告列举了 ChatGPT Enterprise、Microsoft 365 Copilot、Gemini for Workspace、Perplexity Comet 与 Claude for Chrome),代用户读取邮件、文档、会话与网页。对这一类,91% 的成功攻击以静默数据外泄告终——无需越狱、无需钓鱼链接、无需恶意软件。这正是典型的”致命三要素”形态:访问私有数据、接触不可信内容,以及具备对外通道。
自建智能体——企业在 Amazon Bedrock AgentCore、Microsoft Foundry 与 Google Gemini Enterprise 等平台上为自身构建的智能体。它们运行在企业信任边界之内,因此一旦被攻陷,影响半径最大,可触及编码或生产力智能体从不涉及的内部系统。
报告还指出一条共享的供应链:它称在所追踪的 17651+ 个 Model Context Protocol 服务器中,约 24% 至少存在一个漏洞;在 130667 个已编目工具中,28.6% 表面上即属高风险;在某一市场中,约 5% 已发布的 Skill 为恶意或高风险。最后,报告引入两个术语——AiPT(AI-Powered Persistent Threats:攻击者本身就是智能体,配备攻击性工具集)与 LAVA(Language-Augmented Vulnerabilities in Applications:智能体所推理的语义层)——归入一个四层、三类智能体的框架。
为何重要
影响的分化是最有用的部分。编码智能体被攻陷是喧闹而具破坏性的(在持有凭据的机器上执行代码);生产力智能体被攻陷则是静默的(数据外流却不留痕迹)。这种静默的失效模式恰恰是传统工具所忽视的:端点检测、防火墙与漏洞扫描器检查的是代码、端点与数据包,而非智能体决定执行其所读取内容中恶意指令的那一语义层。报告指出,单个被投毒的 MCP 服务器或 Skill 可同时触及所有类型的智能体——因此供应链卫生并非可选项。以上结论都不依赖于认同具体百分比:无论数据能否复现,其结构性教训依然成立。
防御
- **将智能体的安装与更新流程视为供应链。**固定官方域名,核验安装来源,并警惕冒充安装页面的赞助搜索结果。
- **对生产力智能体应用致命三要素规则。**避免在同一会话中同时具备私有数据访问、不可信内容与对外通道;对会浏览网页、读取邮件的智能体,约束或审查其外发。
- **对自建智能体实行最小权限与严格的信任边界。**进行分段隔离,使被攻陷的单个智能体无法在全企业范围内横向移动;将凭据范围收至最小。
- **治理 MCP 与 Skill 供应链。**将经过审核的服务器与工具列入白名单,审查工具描述中的注入与”抽地毯”(rug-pull)迹象,并在每次更新后重新核验。
- **增加语义层可观测性。**将工具调用连同触发它的上下文与推理一并记录;传统 EDR 无法呈现一次静默的外泄决策。
- **假定静默外泄存在检测盲区。**专门监控生产力智能体的数据外发,因为此类成功攻击往往不留其他痕迹。
状态
| 项目 | 参考 | 日期 | 备注 |
|---|---|---|---|
| 报告发布 | STAR Labs Threat Research, Vol. I | 2026-07-14 | 厂商数据;未经独立复现 |
| 编码智能体 | Cursor、Claude Code、GitHub Copilot | 2026-07-14 | 36% 成功攻击 → 开发机上 RCE |
| 生产力智能体 | ChatGPT Enterprise、M365 Copilot、Gemini for Workspace、Perplexity Comet、Claude for Chrome | 2026-07-14 | 91% 成功攻击 → 静默外泄 |
| 供应链 | MCP 服务器 / 工具 / Skill | 2026-07-14 | 约 24% 服务器含 ≥1 漏洞;28.6% 工具高风险 |
真正的要点不是百分比排行榜,而是其下的规律:智能体风险由部署上下文塑造,最静默的后果恰能避开多数企业已在运行的工具,而单个被投毒的依赖会一举跨越所有智能体边界。
文中数据来自该厂商的新闻稿与报告微站,作为厂商披露的数据引用,未经独立核实。文中不复现任何概念验证载荷。