面包屑图标 当前位置: 首页
AI资讯
热点详情

款开源AI Agent高危漏洞可绕过防护执行任意命令

AI热点日报
AI热点日报时间:2026-07-06
热点解读

AdversaAI披露GuardFall绕过技术,利用Shell技巧绕过安全防护。测试11款主流开源AI代理,仅Continue能防御,其余10款均存高危漏洞。攻击者可引导代理执行删除文件、窃取SSH密钥等任意命令,安全风险极高,影响广泛,需立即修复。

近期,Adversa AI 研究团队公开了一项代号为 GuardFall 的新型绕过技术,该攻击手法竟利用了存在数十年之久的经典 Shell 技巧。测试数据令人警醒——在 11 款主流开源编程与计算机使用 Agent 中,有 10 款均存在严重安全风险。唯一成功抵御攻击的工具是 "Continue"。

此问题的根源并不复杂。这些 AI Agent 在运行时继承了用户账户的完整系统权限。一旦被诱导访问包含恶意陷阱的代码仓库或软件包,隐藏指令便会悄然执行——删除文件、窃取 SSH 密钥与云服务凭证,甚至用户主目录中的全部数据,都可能被一洗而空。

Part01

风险影响范围

这些 Agent 在运行时拥有用户账户的全部权限。如果攻击者将其引导至包含陷阱的代码仓库或软件包,隐藏指令便能悄然执行删除文件或窃取敏感信息等恶意操作——从 SSH 密钥、云凭证到用户主目录下的所有内容,均面临被窃取的风险。

Part02

绕过机制剖析

大多数 Agent 的安全机制仅是将命令与危险模式阻止列表进行简单比对。但问题在于执行流程:它们检查的是纯文本形式的命令,而 bash 在实际执行前会对内容进行大量重写。Shell 会剥离引号、展开快捷方式——因此过滤器与 Shell 最终处理的内容,实际上是两个截然不同的东西。

以最简单的例子说明:当过滤器检查 rm 时,认为 r''m 无害,因为文本匹配器将其视为不同的字符串。然而 bash 在执行时会直接移除空引号,依然如常执行 rm 命令。

这种绕过原理还有多种变形:隐藏在 base64 中并通过管道传入 Shell 的命令,或利用特定参数使 finddd 等常规工具变为破坏性武器。研究人员明确指出,这并非某个具体的漏洞,而是一种"危险的惯例和问题类别"——单纯增加阻止列表模式,根本无法根除风险。

攻击的成功需要两个常见条件:

  • 首先,AI 需要生成恶意命令。直接要求执行"run rm -rf"通常会被拒绝,但如果将相同指令嵌入看似正常的构建文件或工具"文档"的回复中,它就会作为常规步骤被输出执行。
  • 其次,Agent 需要在启用自动执行标志或关闭容器沙箱的情况下自主运行——这两种情况在自动化流水线中十分常见。实测中使用了 Claude Sonnet 4.6 模型。

Part03

受影响工具清单

10 款存在漏洞的工具体包括:opencode、Goose、Cline、Roo-Code、Aider、Plandex、Open Interpreter、OpenHands、SWE-agent 以及 Hermes 项目(最早在其问题跟踪器中曝光)。截至 2026 年 5 月,这些工具在 GitHub 上累计获得约 548,000 颗星。Adversa 已对 Plandex 的生产环境二进制文件完成了端到端攻击验证,且相同攻击模式对另外 8 款工具同样有效。

Part04

防御机制分析

唯一具备有效防御能力的 Continue,采用了一种预解析机制:在执行决策之前,它会先按照 bash 的方式解析命令,拆解为 Shell 实际会处理的片段,检查真正将要执行的内容,并维护一份严格且明确的破坏性命令阻止列表。在默认编辑器模式下,这种防护能拦截所有攻击载荷。但在命令行自动运行模式下防护稍弱——少数载荷可能漏网,不过最具破坏性的命令仍会被拦截。Adversa 评估这种设计具有良好的可移植性,经验丰富的工程师大约两天即可实现。

Part05

临时防护建议

在更完善的防护机制出现之前,可以采取以下缓解措施:

  • 将 Agent 的 $HOME 环境变量指向临时目录,使 ~/.ssh~/.aws 等敏感文件不可被访问。
  • 关闭 --auto-exec--auto-run--auto-testdangerously-skip-permissions 等自动执行标志——除非任务确实无法暂停等待人工确认。
  • 禁止 Agent 处理来自分叉仓库的拉取请求——这可能是攻击者文件直达你密钥的便捷通道。
  • 将仓库内的配置文件(如 .aider.conf.yml)视为不可信代码,恶意配置可能在首次接受编辑时即触发攻击。

GuardFall 是今年一系列相似安全发现中的最新案例。此前 Adversa 披露的 TrustFall 影响了 Claude Code、Cursor、Gemini CLI 和 Copilot CLI;另有独立发现的拒绝规则绕过漏洞影响了 Claude Code。AutoJack 和 Agentjacking 等攻击,均能将污染内容转化为 Agent 以所有者权限执行的命令。这些攻击的共同点在于:防护机制尚未理解 bash 实际要执行什么,不可信文本就已经抵达了真实的 Shell。


参考来源:

GuardFall Exposes Open-Source AI Coding Agents to Decades-Old Shell Injection Risks

https://thehackernews.com/2026/06/guardfall-exposes-open-source-ai-coding.html

热点追踪提示词
你是一名 AI 行业编辑,请围绕下面这条热点输出一份资讯解读:
热点:款开源AI Agent高危漏洞可绕过防护执行任意命令要求:
1. 先用一句话解释这条热点在讲什么
2. 再总结它为什么重要
3. 说明会影响哪些 AI 产品或内容方向
4. 最后给出 3 个适合资讯站使用的标题
来源:https://www.bestblogs.dev/article/ab3b6622?utm_source=rss&utm_medium=feed&utm_campaign=resources&entry=rss_article_item
攻击者

游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。

相关热点
AI热点2026-07-06 18:12
AI Snap&Sort 智能排序应用

AISnap&Sort是一款通过拍照识别垃圾类型的智能工具。用户拍摄垃圾照片后,人工智能模型快速判定其为可回收物、堆肥垃圾或其他垃圾,操作简单,无需记忆分类规则。其图像识别模型经大量样本训练,能准确分类常见杂物,适用于家庭、办公室等场景。

AI热点2026-07-06 18:12
Book Witch AI写作一键生成完整电子书

BookWitch是一款AI写作工具,可一键生成从标题到封面的完整电子书。支持长篇幅内容与定制化模型,适用于个人作者和商业团队,经济实惠且大幅节约时间,只需基础想法即可快速产出成品。

AI热点2026-07-06 18:12
一键创建和安排Twitter线程的Thread Creator

ThreadCreator是一款在Twitter上创建和安排线索帖的工具,支持单条推文排期、媒体上传、拖拽排序、自动编号及多账户切换,助力品牌和自媒体创作者高效规划与发布内容,提升运营效率。

AI热点2026-07-06 18:12
AI昆虫蜘蛛虫子识别工具

BichosID是一款基于AI的节肢动物识别工具,由Fucesa开发,可快速识别昆虫、蜘蛛及其他虫子。平台设有社区板块,展示热门搜索排行榜与最新发现记录,支持搜索、拍照识别和分类浏览,兼具实用工具与虫友交流功能。

延伸阅读