AI News HubLIVE
站內改寫2 分鐘閱讀

劫持防禦性AI代理實現遠程代碼執行

研究人員展示了針對Anthropic的Claude Code和OpenAI的Codex CLI的概念驗證利用,通過提示注入在評估第三方庫時實現遠程代碼執行,警告當前推動AI防禦工具的舉措可能引入新的安全風險。

來源Hacker News AI作者: Cynddl

研究人員近日公佈了一項概念驗證(PoC)攻擊,展示瞭如何利用提示注入手段,在Anthropic的Claude Code CLI(基於Claude Sonnet 4.6、Sonnet 5或Opus 4.8模型)和OpenAI的Codex CLI(基於GPT-5.5模型)中實現遠程代碼執行(RCE)。當這些AI代理被用於防禦性評估第三方開源庫的安全漏洞時,攻擊者只需在庫的源代碼文件中注入惡意提示,即可在默認配置下(Claude Code的auto-mode或Codex的auto-review模式)誘導AI代理執行危險命令。該攻擊無需任何額外的鈎子、技能、插件或MCP服務器,僅需AI代理在自動模式下運行即可成功。

研究團隊強調,這一發現揭示了前沿AI模型在防禦性部署中的固有安全缺陷。儘管企業宣稱AI防禦工具能夠平衡攻擊方的技術優勢,但實際應用中,這些模型自身可能成為新的攻擊面。例如,當AI代理被用於掃描代碼庫以尋找漏洞時,攻擊者可以通過向代碼庫中注入看似無害的文檔文件,實際包含惡意提示,從而劫持AI代理並控制宿主機器。

具體來説,攻擊者可以在第三方庫(如geopy)中添加包含提示注入的文檔文件和混淆後的惡意二進制文件。當AI代理以自動模式掃描該庫時,會自動讀取這些文件並執行注入的命令,從而繞過正常的安全檢查。研究顯示,Claude Code的auto-mode和Codex的auto-review模式均容易受到此類攻擊,因為它們的AI分類器無法可靠區分安全與惡意的命令。

研究人員警告稱,當前美國政府和私營部門正在加速推進AI防禦工具的部署,例如白宮的《促進先進人工智能創新與安全》行政令、Anthropic的Project Glasswing以及Palantir的MA-S2標準,但這些舉措未充分考慮防禦性AI帶來的新風險。在關鍵基礎設施領域,AI的倉促部署可能導致災難性後果。

為此,研究者建議採取嚴格的緩解措施,包括限制AI代理對敏感系統的訪問、審查第三方代碼庫、實施更嚴格的命令執行策略,以及避免在自動模式下運行未經信任的代碼。此外,組織應重新評估AI防禦工具的實際收益,並認識到AI本身可能成為攻擊的入口。