系统:运行中
← 返回所有攻击
RESEARCH MEDIUM NEW

Straiker STAR Labs:1700 次智能体攻击揭示了什么

一份厂商威胁报告对生产环境中的编码、生产力与自建智能体发起真实攻击。不同部署类型的攻击结果差异明显,但防御经验具有普遍意义。

2026-07-17 // 6 min affects: cursor, claude-code, github-copilot, chatgpt-enterprise, m365-copilot, gemini-for-workspace, perplexity-comet, claude-for-chrome, amazon-bedrock-agentcore, microsoft-foundry, mcp

这是什么?

2026 年 7 月 14 日,Straiker 旗下的 STAR Labs 研究团队发布了其威胁报告的第一卷。研究人员针对生产环境中的 AI 智能体运行了数千个对抗场景,覆盖三类部署——编码智能体、生产力与浏览器智能体,以及企业自建的智能体——共记录到超过 1700 次成功利用

报告的价值不在于某一项具体技术,而在于它按智能体运行位置对成功攻击究竟能达成什么所做的拆解。需先声明一点:这些是厂商公布的数据,来自一家以销售智能体安全为业务的公司,且未经独立复现。应将其视为攻击面形态的方向性信号,而非已成定论的行业统计。

工作原理

报告按部署方式对智能体分组,并为每一类报告了不同的影响特征。

编码智能体——在开发者机器上读写代码的工具,报告将 Cursor、Claude Code 与 GitHub Copilot 列入范围。在此类成功攻击中,36% 在开发者本机上实现了远程代码执行——正是那台保存源代码和云凭据的机器。在一次概念验证中,团队购买了赞助广告,使其排名超过合法的安装页面,从而窃取编码智能体的凭据——这提醒我们,安装与上手流程本身就是一个攻击面,而非可供复现的操作手册。

生产力智能体——嵌入日常工作的助手与浏览器智能体(报告列举了 ChatGPT Enterprise、Microsoft 365 Copilot、Gemini for Workspace、Perplexity Comet 与 Claude for Chrome),代用户读取邮件、文档、会话与网页。对这一类,91% 的成功攻击以静默数据外泄告终——无需越狱、无需钓鱼链接、无需恶意软件。这正是典型的”致命三要素”形态:访问私有数据、接触不可信内容,以及具备对外通道。

自建智能体——企业在 Amazon Bedrock AgentCore、Microsoft Foundry 与 Google Gemini Enterprise 等平台上为自身构建的智能体。它们运行在企业信任边界之内,因此一旦被攻陷,影响半径最大,可触及编码或生产力智能体从不涉及的内部系统。

报告还指出一条共享的供应链:它称在所追踪的 17651+ 个 Model Context Protocol 服务器中,约 24% 至少存在一个漏洞;在 130667 个已编目工具中,28.6% 表面上即属高风险;在某一市场中,约 5% 已发布的 Skill 为恶意或高风险。最后,报告引入两个术语——AiPT(AI-Powered Persistent Threats:攻击者本身就是智能体,配备攻击性工具集)与 LAVA(Language-Augmented Vulnerabilities in Applications:智能体所推理的语义层)——归入一个四层、三类智能体的框架。

为何重要

影响的分化是最有用的部分。编码智能体被攻陷是喧闹而具破坏性的(在持有凭据的机器上执行代码);生产力智能体被攻陷则是静默的(数据外流却不留痕迹)。这种静默的失效模式恰恰是传统工具所忽视的:端点检测、防火墙与漏洞扫描器检查的是代码、端点与数据包,而非智能体决定执行其所读取内容中恶意指令的那一语义层。报告指出,单个被投毒的 MCP 服务器或 Skill 可同时触及所有类型的智能体——因此供应链卫生并非可选项。以上结论都不依赖于认同具体百分比:无论数据能否复现,其结构性教训依然成立。

防御

  1. **将智能体的安装与更新流程视为供应链。**固定官方域名,核验安装来源,并警惕冒充安装页面的赞助搜索结果。
  2. **对生产力智能体应用致命三要素规则。**避免在同一会话中同时具备私有数据访问、不可信内容与对外通道;对会浏览网页、读取邮件的智能体,约束或审查其外发。
  3. **对自建智能体实行最小权限与严格的信任边界。**进行分段隔离,使被攻陷的单个智能体无法在全企业范围内横向移动;将凭据范围收至最小。
  4. **治理 MCP 与 Skill 供应链。**将经过审核的服务器与工具列入白名单,审查工具描述中的注入与”抽地毯”(rug-pull)迹象,并在每次更新后重新核验。
  5. **增加语义层可观测性。**将工具调用连同触发它的上下文与推理一并记录;传统 EDR 无法呈现一次静默的外泄决策。
  6. **假定静默外泄存在检测盲区。**专门监控生产力智能体的数据外发,因为此类成功攻击往往不留其他痕迹。

状态

项目参考日期备注
报告发布STAR Labs Threat Research, Vol. I2026-07-14厂商数据;未经独立复现
编码智能体Cursor、Claude Code、GitHub Copilot2026-07-1436% 成功攻击 → 开发机上 RCE
生产力智能体ChatGPT Enterprise、M365 Copilot、Gemini for Workspace、Perplexity Comet、Claude for Chrome2026-07-1491% 成功攻击 → 静默外泄
供应链MCP 服务器 / 工具 / Skill2026-07-14约 24% 服务器含 ≥1 漏洞;28.6% 工具高风险

真正的要点不是百分比排行榜,而是其下的规律:智能体风险由部署上下文塑造,最静默的后果恰能避开多数企业已在运行的工具,而单个被投毒的依赖会一举跨越所有智能体边界。

文中数据来自该厂商的新闻稿与报告微站,作为厂商披露的数据引用,未经独立核实。文中不复现任何概念验证载荷。

Sources