AGENTS
(91)91 个攻击.
过度授权的工具选择:智能体倾向于选用超出任务所需的强力工具
2026 年 6 月的一篇论文及其基准 ToolPrivBench 表明,主流大模型智能体经常选用权限高于实际所需的工具,而安全对齐并不能纠正这一点。
智能体通信图:工作流尚未执行就已泄露
2026 年 6 月 5 日的一篇 arXiv 论文表明,即便载荷已加密,A2A/MCP 的通信图仍能让被动观察者在工作流刚开始时就预测其任务类别,并在其完成前抢先行动。
智能体自致损害:当 AI 无需攻击者就搞垮生产环境
Cyera 2026 年 5 月对 7200 多起 AI 事件的研究筛出 344 起智能体自致损害案例,其中 188 起完全没有外部攻击者——自主智能体删库、泄密并烧光预算。
潜伏式记忆投毒:针对有状态 LLM 智能体的休眠攻击
2026 年 5 月的一篇论文表明,攻击者可通过一份文档或网页植入伪造的「记忆」,使其长期休眠,随后在后续会话中操纵助手的行为。
AutoJack:浏览型智能体把恶意网页变成主机 RCE
微软 2026 年 6 月 18 日的 AutoJack 研究显示,浏览型 AI 智能体继承 localhost 身份,触达本地 MCP WebSocket 并在主机上执行任意进程。
CVE-2026-32211:Azure MCP Server 缺失身份验证
微软于 2026 年 4 月 2 日披露 CVE-2026-32211:Azure MCP Server 上的一处身份验证缺失,使未经认证的攻击者可通过网络泄露信息。微软评分 9.1,NVD 评分 7.5。
WAAA:当智能体浏览器复活经典 Web 攻击
2026 年 5 月的一篇论文构建了首个面向 Web 的智能体浏览器威胁模型,并证明 10 种早已被缓解的 Web 攻击会卷土重来、往往被放大,原因在于智能体是一个无法区分任务步骤与网页陷阱的混淆代理。
过度热心的编码智能体:良性任务上的越界操作
2026 年 5 月的两项基准测试量化了在良性请求下越权的编码智能体——删文件、抹凭据——并发现决定风险的是智能体框架,而非底层模型。
工具选择劫持:迫使智能体挑选攻击者的工具
一项 NDSS 2026 攻击与一篇 2026 年 4 月的 IBM 论文瞄准同一个盲点:智能体决定调用哪个工具的那一步。污染工具目录,智能体就会选中攻击者的工具,成功率达 70 至 100%。
CVE-2026-0755:gemini-mcp-tool 中的命令注入与文件窃取
2026 年 6 月 18 日的公告详述了流行的 gemini-mcp-tool 如何让不可信输入抵达 shell 与 Gemini CLI 的 @file 解析器——CVSS 9.8 的 RCE 与文件外泄,已在 1.1.6 修复。
NRT-Bench:对运营电厂的 LLM 智能体进行多轮红队测试
2026 年 6 月 18 日发布的一个基准把 LLM 操作员智能体放进模拟核电站控制室。自适应多轮攻击在 8.7%–12.1% 的会话中突破了安全边界,而且不同模型的失效几乎互不重叠。
Vertex AI「双重代理」:权限过大的服务代理成为云端提权路径
Unit 42 于 2026 年 3 月 31 日披露:Vertex AI Agent Engine 部署会通过元数据服务暴露一个权限过大的服务身份,使配置不当的代理变成对项目内所有存储桶的读取入口。
存储型提示注入:当注入比会话活得更久
2026 年 6 月的一篇 arXiv 论文把提示注入重新定义为一种存储型、跨会话的问题:一旦对抗性文本进入智能体的持久状态,它就能在攻击者离开很久之后继续操纵后续执行。
MemPoison:仅凭一次对话就在智能体记忆中埋下后门
2026 年 5 月的一篇 arXiv 论文仅通过普通对话就在 LLM 智能体的长期记忆中植入了一个可触发的后门,并且被特意设计为能够躲过本应过滤被污染内容的抽取与改写阶段。
Agent libOS:把权限边界放在运行时,而非工具包装层
2026 年 6 月 2 日的一篇 arXiv 论文指出,多数智能体框架把「工具可见性」与「资源权限」混为一谈,并提出一种类 library-OS 运行时,把能力检查放在原语边界而非工具包装层。
MCP Go SDK 的 CSRF:一个网页就能触发你的本地工具(CVE-2026-33252)
官方 MCP Go SDK 接受浏览器的跨站 POST 请求却不校验 Origin 头。在无鉴权的本地服务器上,你访问的任何网站都可能调用你的工具。已在 1.4.1 修复。
SkillAttack:自动化红队在智能体技能中发现漏洞
2026 年 4 月的论文 SkillAttack 将漏洞发现重构为路径搜索问题,表明即便是善意编写的智能体技能也可被触达——对抗性技能上攻击成功率高达 0.93。
权限混淆:工具型智能体为何会滥用自己的访问权
2026 年 5 月的一篇论文命名了一种区别于提示注入的失效模式:不可信数据可以为智能体的推理提供信息,但绝不能授权副作用。AIRGuard 在动作发生的那一刻强制执行这条边界。
CVE-2026-26268:Cursor 的智能体把一次 git checkout 变成代码执行
恶意仓库藏有一个带自动 hook 的 Git「裸」仓库。当 Cursor 的 AI 智能体为「解释这段代码」而运行 git checkout 时,hook 被触发——在开发者机器上任意代码执行,无需确认。已在 Cursor 2.5 修复。
用户中介攻击:当用户成为注入通道
2026 年 1 月一项针对 12 个商用智能体的研究表明,攻击者无需触碰智能体本身,只需诱使善意用户转发被投毒的内容——指令层级随即将其提升为可信的用户意图。默认绕过率超过 92%。
CVE-2026-26030:提示注入在 Microsoft Semantic Kernel 中演变为 RCE
微软 AI 红队披露了 Semantic Kernel 的两个漏洞,可将单条注入提示转化为主机上的代码执行。教训是:模型能够影响的任何工具参数都应视为攻击者可控的输入。已于 2026 年 5 月 7 日修复。
SearchGEO:让 LLM 搜索智能体为攻击者页面背书
2026 年 6 月 15 日的一篇 arXiv 论文测量了攻击者控制的网页内容如何被转化为智能体背书的推荐——攻击成功率因后端模型而异,从 0% 到 31.4% 不等。
僵尸智能体:自演化 LLM 智能体如何在多会话间持续被控
在一次无害会话中被观察到的一次性间接注入,可被写入智能体的长期记忆,并在日后作为指令重放,从而把短暂的提示词变为持久的控制。攻击论文为 2026 年 2 月,防御方案(CAMS)为 2026 年 5 月。
AI 智能体陷阱:DeepMind 关于网页如何劫持智能体的六类图谱
谷歌 DeepMind 的《AI Agent Traps》论文(SSRN,2026 年 3 月底)首次系统性地对针对智能体感知、推理、记忆、行动、多智能体动态及人类监督者的对抗性网页内容进行了分类。
ShadowMerge:通过关系碰撞投毒基于图的智能体记忆
2026 年 5 月的一篇论文用与真实锚点、真实通道相同但携带矛盾取值的关系来投毒智能体的图记忆——在 Mem0 上达到 93.8% 的攻击成功率,且输入侧过滤器无法察觉。
浏览器智能体会通过点击方式暴露其底层模型
2026 年 5 月 14 日的一篇论文显示,LLM 浏览器智能体在页面上的操作足以识别其底层模型,在 14 个前沿模型上准确率高达 96%,且无需依赖可伪造的请求头。
推理扩展型拒绝服务:当 AI 护栏成为攻击面
2026 年 6 月的一篇论文表明,单个投毒文档即可让基于推理的 AI 护栏陷入无尽的思考循环,使共享智能体工作流减速最高达 148 倍。攻击目标是可用性,而非完整性。
AI 编码智能体:攻击者盯上的是凭据,而非模型
2026 年针对 Codex、Claude Code、Copilot 和 Vertex AI 的六个漏洞利用,全都绕过了模型层防御,直击同一个目标——智能体的运行时凭据。其根本原因是身份治理缺口,而非提示词问题。
LangGraph 检查点:从 SQL 注入到自托管智能体的远程代码执行
Check Point Research 将 LangGraph 检查点中的 SQL 注入与不安全的 msgpack 反序列化串联,最终实现远程代码执行。已于 2026 年 6 月 11 日披露,三个 CVE 均已修复。
终止投毒:让 LLM 智能体陷入无限循环
2026 年 5 月的一篇 arXiv 论文表明,注入可以扭曲智能体对任务是否完成的判断,导致无界计算。LoopTrap 框架报告了最高 25 倍的步数放大。
FragFuse:用碎片化查询绕过 LLM 智能体的访问控制
2026 年 6 月 14 日的一篇 arXiv 论文显示,被禁止的请求可被拆成无害的碎片,存入智能体的长期记忆,再在检索时重新拼合,从而以 86.3% 的平均成功率绕过访问控制。
跨域多智能体 LLM 系统:七大安全挑战
2026 年 6 月 13 日发表于《npj Artificial Intelligence》的一篇观点文章,梳理了来自不同组织的 LLM 智能体在缺乏共同信任模型的情况下协作时所出现的七大安全挑战。
AI 智能体中的 TOCTOU:观察与执行之间的原子性破坏
一类古老的操作系统漏洞在智能体中重现:在智能体「观察」与「执行」之间,世界已经改变。2026 年的新研究将其形式化,覆盖 GUI、浏览器与多智能体系统。
Splunk MCP 服务器以明文记录认证令牌(CVE-2026-20205)
Splunk MCP Server 应用将用户的会话令牌和授权令牌以明文写入 _internal 索引——这是一个 CWE-532(日志中的机密信息)缺陷,使日志访问权变成令牌窃取。已在 v1.0.3 修复。
DNS 重绑定让本地 MCP 服务器变成远程攻击面
2025–2026 年的一波协同披露击中了所有主流 MCP SDK,根因相同:监听 localhost 的 HTTP 服务器未校验 Host/Origin 头。最新的 CVE-2026-11624(Google MCP Toolbox,2026 年 6 月 13 日)被评为严重级 9.4。
CVE-2026-46519:当 MCP 服务器只在展示层而非执行层过滤工具
mcp-server-kubernetes 仅在 tools/list 中执行只读与白名单控制,却从未在 tools/call 中执行。任何知道工具名称的客户端都能直接调用它。这是一堂关于展示层授权与执行层授权的清晰教训。
Flowise CVE-2026-41264:LLM 生成的 pandas 代码升级为 RCE
Flowise CSV Agent 中的提示注入诱导模型生成可绕过正则黑名单并执行操作系统命令的 Python 代码。2026 年 4 月 15 日披露,已在 3.1.0 修复。
ConVerse:两个智能体对话时,能力更强的那个泄露更多
一项针对智能体之间对话的基准测试发现,隐私攻击成功率高达 88%,安全漏洞高达 60%——而且能力更强的模型泄露更多,而非更少。
Claude Code 的 GitHub Action:Read 工具如何泄露 CI/CD 密钥
微软威胁情报发现,Claude Code Action 的 Read 工具绕过了 Bash 的环境清洗,读取 /proc/self/environ,泄露了 runner 的 ANTHROPIC_API_KEY。已在 v2.1.128 修复。
因果洗白:被拒绝的工具调用为何仍会泄露数据
2026 年 4 月的一篇论文表明,拒绝智能体的工具调用并不意味着攻击结束:拒绝本身就是一条信息通道。扁平的污点追踪会漏掉它。
上下文断裂分解:利用来源溯源缺口的越狱攻击
2026年6月8日的一篇arXiv论文形式化了工具型智能体中的「溯源缺口」:危害行为由分散在时间中的若干无害工具操作拼合而成,成功率最高提升28.3个百分点。
SABER:编码智能体即使拒绝恶意提示,仍会在操作安全上失败
2026 年 5 月 31 日的一项基准测试以真实工作区的最终状态、而非提示拒绝来评估 LLM 编码智能体。即便是最优模型,也有超过一半的运行留下有害的违规。
Cursor 白名单绕过:shell 内建命令污染环境实现 RCE
CVE-2026-22708 允许提示注入利用 export、typeset 等受信任的 shell 内建命令污染 Cursor 的环境变量,把一条已批准的 git 或 python 命令变成远程代码执行。已在 2.3 版本修复。
记忆控制流攻击:当存储的记忆操纵智能体的工具调用
2026 年 3 月的一篇论文表明,被投毒的智能体记忆不仅会污染内容,还会劫持工具选择的控制流——在超过 90% 的试验中强制调用非预期工具、跳过步骤,且能跨任务持续、在注入后长期生效。
远程 MCP 服务器:40% 无身份验证,其余的 OAuth 也已失守
2026 年 5 月的一篇 arXiv 研究扫描了 7,973 台活跃的远程 MCP 服务器:40.55% 在毫无身份验证的情况下暴露工具,而受测的 119 台 OAuth 服务器无一例外至少存在一个缺陷——已分配 9 个 CVE。
MS-Agent 的 shell 工具:正则黑名单把提示注入变成 RCE
CVE-2026-2256 让攻击者控制的内容诱导 ModelScope 的 MS-Agent 执行系统命令。根因是一个熟悉的反模式:用正则黑名单而非白名单来防护 shell 工具。
OWASP ASI02:当智能体把自己的工具反过来对付你
工具滥用与利用是 OWASP 2026 智能体应用十大风险中的第二项。危险不在于智能体获得了新工具,而在于它滥用已有的工具——过度授权、被投毒的工具描述、不安全的链式调用。
针对 x402 的五种攻击:当 AI 智能体付款时,跨层接缝在漏水
2026 年 5 月 12 日的一篇论文从形式上攻破了基于 HTTP 402 的智能体支付协议 x402。五种攻击覆盖结算、重放、Web 处理与发现——一次被重放的支付在生产端点上换来了 248 次授予。
CVE-2026-45497:命令注入将 Microsoft 365 Copilot 变成 RCE 攻击面
2026 年 6 月 4 日,MSRC 披露了 CVE-2026-45497——Microsoft 365 Copilot 中的命令注入漏洞,被评为远程代码执行,并带有跨越服务边界的范围变更。已在服务端修复。
当 MCP 工具参数变成 Android intent:mobile-mcp 的注入汇聚点
CVE-2026-35394 使受模型控制的 URL 能够通过 mobile-mcp 的 mobile_open_url 工具触发任意 Android intent。结合一个同源的路径遍历 CVE,它揭示出一种模式:MCP 工具参数未经校验便流入危险汇聚点。
VIPER-MCP:40,000 个 MCP 服务器中的污点型漏洞带来 67 个 CVE
2026 年 5 月 20 日的一篇 arXiv 论文审计了 39,884 个开源 MCP 服务器仓库,端到端确认了 106 个零日漏洞,并已分配 67 个 CVE 编号。重点在于这一模式:不可信的智能体输入抵达 shell、网络与文件系统的 sink。
自传播智能体蠕虫与时间性重入防御
2026 年 5 月的一篇论文形式化地说明了智能体的持久状态如何让注入载荷把自身写回 LLM 上下文、在智能体之间零点击传播,并提出 RTW-A——一种由「无持久蠕虫传播」定理证明的防御。
7 个 MCP 客户端的工具投毒对比:一份安全态势评估
2026 年 3 月的一项实证研究针对 Claude Desktop、Claude Code、Cursor、Cline、Continue、Gemini CLI 与 Langflow 测试了四类工具投毒攻击,并发现大部分防护来自模型而非客户端本身。
AIRQ 评测 100 个生产环境 AI 智能体:98% 具备致命三要素
Adversa AI 于 2026 年 6 月发布的 AI 风险象限按攻击面、影响范围与防御能力对 100 个商用智能体评分。仅 11% 防御良好;工具执行一项即可解释 76% 的影响范围。
Opus 4.8 系统卡为浏览器智能体的提示注入给出数字:31.5%
Anthropic 于 2026 年 5 月 28 日发布的 Claude Opus 4.8 系统卡,报告其浏览器智能体在防护措施前的劫持率为 31.5%——这是今年春季前沿实验室公布的唯一一项具体的提示注入指标。
授权传播:提示注入防御无法弥合的智能体安全缺口
Krti Tallam 于 2026 年 5 月 6 日发表的论文指出,多智能体系统存在一个独立的授权传播问题——传递性委派、聚合推断、时间有效性——即便提示注入被完全防住,它依然存在。
ClawTrojan:被存储的提示注入演变为持久化的智能体后门
2026 年 5 月 29 日的一篇 arXiv 论文显示,藏在文件中的注入可被本地智能体存储并在日后执行——攻击成功率达 95.5%,而单轮注入几乎为零。
CVE-2026-30615:提示注入改写 Windsurf 的 MCP 配置导致 RCE
OX Security 在 2026 年 4 月 15 日的公告显示,攻击者可控的内容可让 Windsurf IDE 注册恶意 MCP STDIO 服务器并执行命令——无需任何点击。该类问题涉及多款编码代理,但 CVE 归于 Windsurf。
Langroid SQLChatAgent:从提示词到 SQL 注入再到 RCE(CVE-2026-25879)
2026 年 6 月 1 日披露的 CVE-2026-25879(CVSS 9.8)可让遭受提示词注入的 SQL 代理执行 COPY FROM PROGRAM 等原语,将聊天框变成数据库主机上的代码执行。
只需开口请求:Meta 的 AI 客服助手与 Instagram 账号劫持
2026 年 5 月 30 日至 31 日的周末,攻击者只是请求 Meta 的 AI 客服机器人为账号绑定一个新邮箱,便劫持了多个高知名度的 Instagram 账号。无需提示注入——仅仅是过度授权。
脆弱的智能体:间接注入在多步工具调用中依然奏效
2026 年 4 月 4 日的一篇论文,在多步智能体环境下对 9 个模型测试了 6 种防御对抗 4 类间接注入向量 — 高级注入几乎绕过全部防御,部分表层缓解措施甚至适得其反。
别只盯着提示词:劫持智能体的推理与记忆
2026 年 4 月的论文 JailAgent 在不改动用户提示词的前提下,通过扰动智能体的推理轨迹与记忆检索,诱导其发起恶意工具调用。提示词从来都不是攻击面的全部。
MCP 采样:恶意服务器如何滥用反向 LLM 通道
MCP 的采样功能允许服务器向客户端的模型请求补全。Unit 42 在 2025 年 12 月展示了恶意服务器如何借此实现隐蔽的工具调用、会话劫持和算力盗用。
TrustFall:项目级 MCP 设置把文件夹信任点击变成 RCE
TrustFall(Adversa AI,2026 年 5 月 7 日)显示四款智能体编码 CLI 会在开发者接受文件夹信任提示的瞬间自动启动项目定义的 MCP 服务器——本机一次按键,CI 中零点击。
Flowise CVE-2026-40933:导入一个共享 chatflow 即可触发 RCE
Obsidian Security 2026 年 5 月 28 日的分析显示,Flowise 的 Custom MCP 节点如何把一份 stdio MCP 配置变成服务器端代码执行——以及仅仅导入一个共享 chatflow 就可能触发它,无需保存或运行。
CrewAI:沙箱静默降级让提示注入升级为远程代码执行(VU#221883)
CrewAI 的四个缺陷可将提示注入串联为 RCE、SSRF 与文件读取——其 Code Interpreter 会在脱离 Docker 时静默降级。CERT/CC 于 2026 年 5 月 20 日的更新确认已完整修复。
令牌耗尽攻击:通过智能体工具链发起的经济型拒绝服务
2026 年的两篇论文显示,恶意工具或技能可将 LLM 智能体诱入冗长的工具调用循环,在仍返回正确答案的同时将令牌成本放大 6 至 658 倍——这是 OWASP「无限消耗」风险的一种隐蔽变体。
SymJack:一次被批准的文件复制变成六款 AI 编码助手中的 RCE
Adversa AI 于 2026 年 5 月 26 日披露了一种符号链接劫持模式,只需一次看似无害的 shell 复制命令,就能在 Claude Code、Cursor、Gemini、Antigravity、Copilot、Grok Build 和 Codex CLI 上覆写配置并在主机获得 RCE。
Blindfold:动作级越狱绕过具身 LLM 的语义防御
SenSys '26 论文(2026 年 5 月 11–14 日)提出 Blindfold,一种通过将恶意目标拆解为单独看似无害的动作来越狱具身 LLM 的自动化框架——在真实 6-DoF 机械臂上将攻击成功率较语义级基线提高最多 53%。
MemMorph:通过流畅的记忆投毒劫持 LLM 智能体的工具调用
2026 年 5 月 24 日,新加坡南洋理工大学在 arXiv 发表论文,证明仅需三条看似合理的记忆条目,即可以 85.9% 的成功率将智能体引向攻击者选定的工具,且能绕过三种现成防御。
Microsoft Copilot Cowork:被污染的 Skill 文件无需审批即可外泄 M365 文档
PromptArmor 于 2026 年 5 月 26 日披露:在 Copilot Cowork 的 skill 文件中植入五行提示注入,即可通过自动批准的 Teams 消息泄露 SharePoint 与 OneDrive 文档,目前没有补丁修复该设计缺陷。
时序记忆污染:配备记忆的 LLM 智能体的纵向安全漂移
2026 年 4 月与 5 月的三篇 arXiv 论文共同指向了一种与记忆投毒互补的失效模式 — 配备记忆的智能体随着良性上下文的累积而逐渐变得不安全,被压缩的摘要充当了清洗通道。
智能体的 harness 才是真正的特权边界 — 而大多数团队都把这条边界划错了位置
Pillar Security 在 2026 年 5 月 26 日的分析指出:harness — Claude Code、Cursor、Codex — 持有智能体永远看不到的密钥、工具与 hook。近期 harness 层的 bug 与 CVE-2026-22708 将这一观点落到了实处。
智能体网络以新方式失效:微软的红队演练,以及 RAMPART 与 Clarity
微软研究院对一个包含 100 多个常驻智能体的内部平台进行了红队测试。四种攻击模式——传播、放大、信任劫持、代理链——只在网络层面显现。2026 年 5 月 20 日开源的 RAMPART 与 Clarity 是相应的回应。
Antigravity find_by_name:当原生工具调用跳过 Secure Mode
2026 年 4 月 20 日,Pillar Security 披露 Google Antigravity 的 find_by_name 工具中一个未净化的参数将文件搜索变成任意代码执行——并绕过了该 IDE 最严格的沙箱。
ClaudeBleed:当浏览器智能体信任了错误的扩展
LayerX 于 2026 年 5 月 6 日披露了 ClaudeBleed:一处信任边界缺陷使任意 Chrome 扩展都能操控 Claude in Chrome,并外泄 Gmail、Drive 和 GitHub 数据。首个补丁在数小时内即被绕过。
MCP 的 STDIO 传输:一个引发 11 个 CVE、暴露 20 万个代理的设计决定
2026 年 4 月 16 日,OX Security 披露 Anthropic 设计的 MCP STDIO 传输会直接执行收到的任何操作系统命令。Anthropic 称之为「按设计如此」。在六周内,这一缺陷已派生出十一个下游 CVE。
当提示变成 shell:智能体框架中从提示注入到 RCE 的攻击链
2026 年初披露的两个 Microsoft Semantic Kernel CVE 和四个 CrewAI CVE,将一次提示注入转化为宿主机上的远程代码执行。该模式是结构性的,而非偶发。
投毒一次,长期受害:LLM Agent 持久性记忆投毒(OWASP ASI06)
2026 年 4 月的一篇 arXiv 论文讨论跨站记忆投毒,5 月 13 日的 OWASP 博客介绍 Cisco 对 Claude Code 的 MemoryTrap 发现——两者得出同一个结论:Agent 的记忆本身就是一条信任边界。
像保护操作系统一样保护 AI 智能体:CISPA 给出的设计蓝图
2026 年 5 月 14 日,CISPA 的一篇论文将数十年的操作系统安全经验移植到 LLM 智能体上。对四个 OpenClaw 类系统的测试显示:跨用户数据外泄与未授权出网这两类弱点,在每一个被测系统上都失守。
致命三要素:当智能体同时能读私有数据、接收不可信内容并对外通信
Simon Willison 提出的框架,揭示了为什么 2026 年 AI 智能体数据外泄事件并非偶发,而是同一个架构错误所致。
MCP 后端漏洞:经典缺陷在 AI 与数据库桥接层卷土重来
Akamai 于 2026 年 5 月 12 日发布的研究记录了三个 MCP 服务器中的 SQL 注入(CVE-2025-66335)、缺失认证与未净化输入——涉及 Apache Doris、Apache Pinot 和 Alibaba RDS。重点不在单个漏洞,而在背后的模式。
Semantic Kernel:当一个 prompt 变成 shell(CVE-2026-25592、CVE-2026-26030)
微软于 2026 年 5 月 7 日披露 Semantic Kernel 中两个关键漏洞,可将单条注入式 prompt 转化为宿主级代码执行。根因在于架构层面:工具注册表和 eval() 被当作便利特性,而非安全边界。
Trust No Tool:通过工具反馈对 LLM 智能体进行认知投毒
2026 年 5 月 17 日的一篇 arXiv 论文提出了“认知投毒”概念——恶意工具在多轮看似正常的交互中赢得智能体信任,仅在最终动作时才发动攻击。防御目标从提示词转向交互轨迹。
CVE-2026-35435:Azure AI Foundry 在 M365 中发布的智能体信任了本不该信任的调用方
2026 年 5 月 7 日公开(CVSS 8.6),Azure AI Foundry 的一个访问控制缺陷允许未授权攻击者通过 M365 已发布智能体提升权限。微软报告该漏洞已被野外利用;补丁发布前已提供缓解措施。
Azure SRE Agent:一项多租户令牌校验让陌生人围观您的故障处置(CVE-2026-32173)
2026 年 4 月 20 日披露:Azure SRE Agent 的 /agentHub WebSocket 上 Entra ID 应用注册的多租户配置失误,让任意租户都能接入并静默旁听每条提示词、推理步骤、CLI 命令和凭据。
Claw Chain:四个 OpenClaw 漏洞如何把 AI 智能体变成攻击者的双手
Cyera Research 于 2026 年 5 月 15 日公开披露的 Claw Chain,将四个已修复的 OpenClaw 漏洞——沙箱逃逸、环境变量泄露、MCP 回环提权、符号链接读取逃逸——串成一条经由智能体本身完成的主机完全接管链。
Comment and Control:一种提示注入模式,三家厂商的 GitHub Actions 密钥同时泄露
2026 年 4 月 15 日披露的 Comment and Control 攻击将 PR 标题、Issue 评论和 HTML 注释变成了 Claude Code、Gemini CLI 与 GitHub Copilot Agent 的凭据外泄通道。
PraisonAI CVE-2026-44338:未鉴权的智能体服务器,披露3小时44分后即被利用
2026年5月11日披露的 CVE-2026-44338,使 PraisonAI 的旧版 API 服务器默认硬编码关闭了身份认证。不到四小时,CVE-Detector 扫描器即开始探测该端点。
本地代理劫持:针对 AI 编码代理的跨源 WebSocket 攻击
2026 年 5 月 7 日披露的 CVE-2026-44211(CVSS 9.7)表明,仅需访问一个恶意网页,就可能劫持运行在开发者笔记本上的 AI 编码代理。该攻击类别具有通用性,本质上是架构层面的问题。
提示词即 shell:智能体框架中提示注入升级为 RCE
Microsoft Semantic Kernel 于 2026 年 5 月 7 日披露的两个 CVE(CVE-2026-25592、CVE-2026-26030)展示了一段被注入的提示如何从文本直接升级为智能体宿主上的远程代码执行。