我们已然正式步入自主智能体时代 —— 这类智能 AI 程序不仅能与你对话,还能在计算机上执行实际操作,例如整理文件、检索网页或运行脚本。
可一旦黑客诱骗这款贴心的数字助手为其执行恶意操作,后果将不堪设想。
一款名为 MS-Agent 的框架新近曝出一处安全漏洞,恰恰揭示了这一前沿技术潜藏的巨大风险。
该漏洞编号为 CVE-2026-2256,攻击者可通过精心构造的文本内容劫持 AI 智能体,进而控制底层计算机系统。
MS-Agent 框架旨在帮助开发者构建可自动执行任务的轻量级 AI 智能体。
为此,框架内置了名为 Shell tool 的功能,该功能本质上赋予了 AI直接向操作系统执行命令的权限。
风险源于 AI 处理信息的机制。
若智能体被要求读取文档、总结网页内容,或交互的对话提示被攻击者暗中植入隐藏指令,AI 便可能盲目执行这些隐藏命令。
在网络安全领域,这种攻击被称为提示词注入攻击—— 相当于对人工智能实施的 “思维操控”。
MS-Agent 的开发者并非没有意识到这一风险,因此编写了名为 check_safe() 的校验代码。
这道 “安全门卫” 依赖黑名单机制:列出已知恶意词汇与高危命令,禁止 AI 执行。
然而,CERT/CC 漏洞公告明确指出,简单的黑名单远远无法阻挡有备而来的攻击者:
“check_safe () 方法基于正则表达式的黑名单,不足以防御命令注入。基于黑名单的过滤机制天生脆弱,极易通过编码、命令混淆或另类 Shell 语法绕过。”
一旦伪装命令绕过安全检测,AI 便会误以为在正常执行任务,进而运行该指令。
由此引发的后果极为严重。
安全公告警示:
“成功利用该漏洞的攻击者,可在目标机器上以 MS-Agent 进程权限执行任意操作系统命令。”
这意味着,AI 被允许执行的所有操作,攻击者均可照做。
攻击者能够窃取敏感文件、修改系统配置、在内网中横向移动,或植入隐蔽后门,以便长期控制目标主机。
研究人员表示:
“厂商在漏洞协同过程中未提供任何说明。用户仅应在可信任、已校验或已净化输入内容的环境中使用 MS-Agent。”
由于暂未发布可彻底修复该问题的软件更新,使用 MS-Agent 的机构必须自行构建防御体系。
安全专家建议,将此类 AI 智能体置于沙箱中运行 —— 仅为 AI 分配完成任务所需的最小权限。
此外,开发者应将脆弱的黑名单(拦截已知恶意行为)替换为严格的白名单(仅允许少数明确许可的操作)。
发表评论
您还未登录,请先登录。
登录