系统:运行中
EN FR ES ZH
← 返回所有攻击
AGENTS MEDIUM NEW

OWASP ASI02:当智能体把自己的工具反过来对付你

工具滥用与利用是 OWASP 2026 智能体应用十大风险中的第二项。危险不在于智能体获得了新工具,而在于它滥用已有的工具——过度授权、被投毒的工具描述、不安全的链式调用。

2026-06-08 // 6 min affects: llm-agents, mcp-servers, coding-agents, tool-using-agents

这是什么?

ASI02 — 工具滥用与利用(Tool Misuse & Exploitation)OWASP 2026 智能体应用十大风险 中的第二项,由 OWASP GenAI Security 项目下的智能体安全倡议(Agentic Security Initiative)发布。旧版的 OWASP LLM 十大风险把模型当作文本生成器,而这份智能体清单针对的是会”行动”的系统:它们调用 API、执行 shell、查询数据库、发送邮件。ASI02 指的是这样一种风险——智能体以不安全、非预期或被攻击者操纵的方式,使用它本就有权调用的工具。

本文是对该类别的防御性梳理,与我们对 ASI06(记忆与上下文投毒) 的报道相互补充,共同呈现 2026 框架如何拆解智能体风险。该类别在 2026 年 6 月获得了 Adversa AI 的专题深度解读,这也是本文的缘由。

工作原理

核心要点在 OWASP 材料以及 Teleport 和 Adversa 的指南中都说得很清楚:威胁不是智能体突然获得了未授权的工具,而是它滥用了已经拥有的工具。 ASI02 在三种反复出现的条件下被触发:

1. OVER-PRIVILEGE   工具拥有的权限超过了任务所需
                    (文件工具的范围被设为 $HOME,而非工作目录)

2. POISONED INPUT   工具描述或被检索到的内容
                    携带了引导其使用方式的指令

3. UNSAFE CHAINING  多个无害工具组合在一起,产生了
                    任何单个工具都未被授权交付的结果

这些条件都不需要传统意义上的软件漏洞利用。智能体正常的推理循环本身就是攻击面:不可信的输入(一份文档、一封邮件、一条网页结果、一段工具描述)促使模型选择一个被允许的工具,并向它传入受攻击者影响的参数。工具完全按设计行事——授权缺口出现在上游,即智能体被允许去”尝试”的范围。

符合该模式、已公开记录的事件(均在 2025—2026 年间披露并讨论):

  • CVE-2025-54136(“MCPoison”)——Cursor IDE 中的一个问题,先前已批准的 MCP 服务器配置可被悄无声息地替换为恶意版本,从而把可信工具变成敌对工具。
  • Invariant Labs 的 WhatsApp 工具投毒演示(2025 年 4 月)——恶意 MCP 工具描述操纵了智能体选择调用哪个工具。
  • Asana MCP 跨租户数据暴露(2025 年 6 月)——一处工具边界让数据越过了租户之间的隔离。
  • Replit 的 AI 助手删除生产数据库(2025 年 7 月)——尽管收到了明确的”冻结所有更改”指令,仍执行了破坏性操作。

此处不复现任何 payload;要点在于其”形态”。一个能力强的工具,加上一个约束不足的智能体,再加上不可信的输入,等于滥用。

为何重要

工具访问权是智能体存在的全部意义——因此也是其全部影响半径。一个能读取代码仓库、调用云 API、触发 webhook 的智能体,在 OWASP 的表述中正好集齐了造成损害的要素:数据外泄、权限提升和不可逆操作。这正是 Simon Willison 所称的致命三要素(私有数据 + 不可信输入 + 外泄或行动通道),只不过被表述为一个设计阶段的风险类别,而非单个漏洞。

ASI02 之所以值得单独占据一席,是因为它对传统防护是不可见的。没有畸形数据包,没有在网络边界注入的 SQL 字符串,没有未授权的二进制文件。每一次工具调用看起来都合法。失效是语义层面的——智能体做了一件它技术上被允许、却本不该做的事。基于模式匹配的防御会漏掉它,因为字节本身是无害的。

防御

OWASP、Teleport 和 Adversa 在一套一致的控制措施上达成共识。没有一项是新颖的;真正的纪律在于把它们全部落实。

  1. 按工具而非按智能体实施最小权限。 把每个工具的权限收窄到当前任务所需的最小范围——允许的路径、速率限制、特定的数据域。文件工具应只看到工作目录,而非整个用户主目录。
  2. 对破坏性和不可逆操作进行确认。 对删除、转账、发送和权限变更,要求明确的人工批准(或策略门控)。Replit 事件正是缺少这道关卡的后果。
  3. 对照预期语义校验工具参数,再执行——不仅是类型检查,而是”这个参数对这项任务是否说得通?“。绝不要把未经校验的智能体输出直接转发给 shell 或数据库命令。
  4. 隔离工具执行并控制出站网络。 在网络受限的隔离环境中运行工具,使被滥用的工具无法触及与其职责无关的密钥或外部端点。
  5. 固定并验证工具描述。 把 MCP 服务器配置和工具元数据当作信任边界:对其签名,并检测悄然替换(即 MCPoison 的失效模式)。
  6. 监控调用模式。 记录每一次工具调用,对异常的调用链、意外的峰值或组合敏感能力的序列发出告警。滥用体现在模式中,而非孤立的单次调用。

统一原则是:工具调用是一项授权决策,而非文本补全的细节。 设计每个工具所承载的权限,以及智能体可以尝试的边界范围——并假定模型对”我该不该执行这个?“的判断终有出错的一天。

状态

项目参考日期备注
OWASP 2026 智能体应用十大风险OWASP GenAI2025-2026ASI02 = 工具滥用与利用,十项中第 2 项
ASI02 深度指南Adversa AI2026-06定义、事件清单、防御控制
类别摘要与缓解措施Teleport2025-12-15面向工程师的逐项缓解步骤

ASI02 是一个框架类别,而非单个 CVE——它只会随着开发者采纳最小权限工具、参数校验和隔离的速度而被逐步”修补”。对任何正在部署智能体的人,结论是:清点它能调用的每一个工具,追问每个工具最坏的合法用途会造成什么后果,并在智能体开始推理之前就约束好其权限。

Sources