劫持防御性AI代理实现远程代码执行
研究人员展示了针对Anthropic的Claude Code和OpenAI的Codex CLI的概念验证利用,通过提示注入在评估第三方库时实现远程代码执行,警告当前推动AI防御工具的举措可能引入新的安全风险。
研究人员近日公布了一项概念验证(PoC)攻击,展示了如何利用提示注入手段,在Anthropic的Claude Code CLI(基于Claude Sonnet 4.6、Sonnet 5或Opus 4.8模型)和OpenAI的Codex CLI(基于GPT-5.5模型)中实现远程代码执行(RCE)。当这些AI代理被用于防御性评估第三方开源库的安全漏洞时,攻击者只需在库的源代码文件中注入恶意提示,即可在默认配置下(Claude Code的auto-mode或Codex的auto-review模式)诱导AI代理执行危险命令。该攻击无需任何额外的钩子、技能、插件或MCP服务器,仅需AI代理在自动模式下运行即可成功。
研究团队强调,这一发现揭示了前沿AI模型在防御性部署中的固有安全缺陷。尽管企业宣称AI防御工具能够平衡攻击方的技术优势,但实际应用中,这些模型自身可能成为新的攻击面。例如,当AI代理被用于扫描代码库以寻找漏洞时,攻击者可以通过向代码库中注入看似无害的文档文件,实际包含恶意提示,从而劫持AI代理并控制宿主机器。
具体来说,攻击者可以在第三方库(如geopy)中添加包含提示注入的文档文件和混淆后的恶意二进制文件。当AI代理以自动模式扫描该库时,会自动读取这些文件并执行注入的命令,从而绕过正常的安全检查。研究显示,Claude Code的auto-mode和Codex的auto-review模式均容易受到此类攻击,因为它们的AI分类器无法可靠区分安全与恶意的命令。
研究人员警告称,当前美国政府和私营部门正在加速推进AI防御工具的部署,例如白宫的《促进先进人工智能创新与安全》行政令、Anthropic的Project Glasswing以及Palantir的MA-S2标准,但这些举措未充分考虑防御性AI带来的新风险。在关键基础设施领域,AI的仓促部署可能导致灾难性后果。
为此,研究者建议采取严格的缓解措施,包括限制AI代理对敏感系统的访问、审查第三方代码库、实施更严格的命令执行策略,以及避免在自动模式下运行未经信任的代码。此外,组织应重新评估AI防御工具的实际收益,并认识到AI本身可能成为攻击的入口。