SUPPLY CHAIN
(27)27 个攻击.
Vertex AI 中的存储桶抢注:跨租户 RCE「Pickle in the Middle」
Unit 42 于 2026 年 6 月 16 日披露了 Vertex AI Python SDK 的一个缺陷:可预测的暂存存储桶名称加上缺失的所有权校验,使攻击者得以劫持受害者的模型上传并实现跨租户代码执行。已在 v1.148.0 修复。
Agent 技能就是一条供应链:SKILL.md 中的恶意软件与提示注入
2026 年 2 月对约 4000 个 agent 技能的审计发现 13.4% 存在严重问题,并有 76 个仍在线的恶意载荷。SKILL.md 已成为软件供应链——本文讲如何分诊。
Mastra npm 作用域劫持:一个休眠维护者账户毒化了某 AI 智能体框架
2026 年 6 月 17 日,一个被遗忘的贡献者账户重新发布了整个 @mastra npm 作用域——约 142 个包——并注入一个会投放加密货币窃取程序与 RAT 的恶意依赖。根因是失效的凭据,而非零日漏洞。
聊天模板即代码:LLM 推理服务器中的 Jinja2 模板注入(SSTI)
CERT/CC 的 VU#915947(2026 年 4 月 20 日)记录了 CVE-2026-5760,这是 SGLang 中一个 CVSS 9.8 的远程代码执行漏洞:恶意 GGUF 模型文件携带的 Jinja2 聊天模板会在服务器上执行 Python。它与此前的「Llama Drama」及 vLLM 漏洞属于同一类。
MalTool:当 AI 亲手编写你的智能体所安装的恶意工具
研究者用一个代码 LLM 合成了 6487 个可用的恶意智能体工具,VirusTotal 漏掉了其中大多数。教训是:对智能体工具供应链而言,基于签名的扫描是错误的控制手段。
Secret Stealing:被植入后门的模型代码窃取你的微调数据
2026 年 4 月 30 日的一篇论文表明,被篡改的模型代码(而非被投毒的权重)可从本地微调数据中窃取 API 密钥和个人信息,精确恢复率超过 98%,并能绕过 DP-SGD 与各类审计。
LiteLLM 被植入后门:当被污染的 CI 扫描器接管 LLM 网关
2026 年 3 月,攻击者通过攻陷 LiteLLM CI 流水线中的 Trivy,窃取其 PyPI 发布令牌,随后发布了两个带后门的版本。这条攻击链揭示了 LLM 网关为何是高价值的供应链目标。
语义合规劫持:无载荷的智能体技能,扫描器看不见
2026 年 5 月 14 日的一篇 arXiv 论文表明,一个不含代码、也无显式恶意意图的技能文件,可诱导编码智能体在运行时自行写出恶意代码——而检测率为 0.00%。
HAMLOCK:在模型与芯片之间分割的后门
USENIX Security 2026 的一篇论文(2026 年 6 月 15 日获报道)将神经网络后门拆分到软件与硅芯片两侧:模型本身从不误分类,因此 Neural Cleanse、MNTD 等纯软件扫描器查不到任何痕迹。
当热门榜第一名是恶意软件:Hugging Face 上的 Open-OSS/privacy-filter 仿冒事件
2026 年 5 月 7 日,HiddenLayer 发现 Open-OSS/privacy-filter——一个仿冒 OpenAI 模型的仓库,18 小时内冲上 Hugging Face 热门榜首、约 24.4 万次下载,并投递一个 Rust 信息窃取程序。
MalSkillBench:我们无法衡量恶意技能检测器,因为测试数据本身有偏
2026 年 6 月的一篇论文构建了首个运行时验证的恶意智能体技能基准——3,944 个样本、108 个攻击单元——并表明同一检测器的召回率会因所用数据集不同而波动多达 66 个百分点。
ktransformers:通过 ZeroMQ 上的 pickle 实现未认证 RCE(CVE-2026-26210)
ktransformers 推理引擎中的一个严重 RCE 在所有网络接口上暴露了一个 ZMQ 套接字,并对收到的任何数据执行 pickle 反序列化。这是「ShadowMQ」模式被复制到各 AI 推理栈中的最新案例。
恶意 LLM API 路由器:智能体栈中无人监管的中间人
加州大学圣巴巴拉分校的一项研究(arXiv,2026 年 4 月 9 日)测量了 428 个第三方 LLM API 路由器:多个会注入代码、窃取凭据,并清空了一个加密钱包——而这一切都源于开发者自愿配置的信任边界。
超越工具投毒:恶意远程 MCP 服务器究竟能做什么
2026 年 5 月 21 日的一项研究系统梳理了恶意远程 MCP 服务器在 ChatGPT、Claude Desktop 和 Gemini CLI 上的完整攻击面——同一请求下主机过滤率在 95% 与 50% 之间摇摆,且成功的攻击几乎从不向用户披露。
RTK(CVE-2026-45792):不可信过滤配置可对 AI 评审隐藏后门
Pillar Security 于 2026 年 5 月 20 日披露了 Claude Code 令牌优化过滤工具 RTK 的一处缺陷:仓库提供的 .rtk/filters.toml 可在模型读取前悄悄从命令输出中剥离后门。攻击目标是智能体的感知,而非其执行。
Hades 蠕虫:打开仓库即运行的被投毒 AI 编码工具配置
Hades 供应链蠕虫将 Claude Code、Gemini、Cursor 和 VS Code 的配置文件提交进仓库,在会话启动或打开文件夹时自动执行——无需任何安装步骤,便把克隆下来的仓库变成凭据窃取器。
Transformers 配置注入:绕过 trust_remote_code 的静默 RCE
CVE-2026-4372 于 2026 年 6 月 4 日公开,单个 config.json 字段即可在普通的 from_pretrained() 调用中执行攻击者代码——绕过 Hugging Face Transformers 中的 trust_remote_code=False。
序列式投毒:将后门拆分到后训练的多个阶段
2026年6月3日的一篇论文显示,分散在 SFT 数据与偏好数据中的投毒——单独看每个阶段都微不足道——会组合成一个可用的后门。逐阶段审计制造出「单一攻击者错觉」。
MetaBackdoor:以输入长度为触发器、在输入中不留痕迹的后门
微软与东京科学院 2026 年 5 月的论文植入了一种后门,其触发器是输入的长度而非文本。提示词看上去干净,内容过滤器毫无察觉,仅需 90 个投毒样本即可。
Back-Reveal:通过被植入后门的智能体自身工具调用窃取数据
一个经过微调的智能体携带隐藏触发器。在收到无害信号时,它读取你的会话记忆,并伪装成普通检索调用将其外传——无需注入,无需恶意工具。论文日期为 2026 年 4 月 7 日。
GGUF 模型文件是不可信输入:llama.cpp 解析器反复出现的 RCE
CVE-2026-33298(2026 年 3 月)与 2026 年 5 月 15 日的一份 oss-sec 披露表明,llama.cpp 的 GGUF 解析器接连出现整数溢出导致的堆破坏:加载一个被构造的模型文件就可能执行代码。
trust_remote_code=False 并非信任边界:vLLM 反复出现的模型加载 RCE
CVE-2026-27893(2026 年 3 月 27 日披露)是 vLLM 第三次 trust_remote_code 绕过。两个模型文件将 trust_remote_code=True 写死,静默覆盖运维人员的设置,使恶意模型仓库得以实现 RCE。
AGENTS.md 注入:被投毒的依赖可以悄悄改写你编码智能体的指令
NVIDIA AI 红队 2026 年 4 月 20 日的报告显示,恶意依赖可在构建期写入伪造的 AGENTS.md,覆盖开发者的指令,并让 OpenAI Codex 在拉取请求中隐藏该改动。
2026 年的 Slopsquatting:五个前沿大模型同时幻觉出的 127 个软件包名
2026 年 5 月 16 日 arXiv 上发布的复现研究表明,前沿模型的包幻觉率较 2024 年下降了约一个数量级,但仍识别出 127 个所有被测模型同时凭空捏造的相同包名,构成一种与具体模型无关的供应链攻击面。
pgAdmin 4 新增 LLM 面板,附带一组经典的 LFI+SSRF(CVE-2026-7817)
pgAdmin 4 9.15 修复了新 LLM API 配置端点中的认证型 LFI 和 SSRF。漏洞类别已有四十年历史,攻击面却是全新的。
SKILL.md 中的隐藏触发器:针对 Agent Skill 注册表的语义供应链攻击
马里兰大学 2026 年 5 月 12 日发表的论文表明:在 SKILL.md 文件中添加约 20 个 token,即可让 Agent 在 77–86% 的试验中发现并选择对抗性 skill,并以最高 100% 的概率绕过注册表的扫描。
Mini Shai-Hulud:瞄准 AI 工具链的供应链蠕虫
2026 年 5 月 11 日至 18 日披露的 Mini Shai-Hulud 蠕虫污染了 170 多个 npm 与 PyPI 软件包——包括 Mistral AI、Guardrails AI 和 TanStack——并在 Claude Code 与 VS Code 中植入持久化。