乐于分享
好东西不私藏

【AI代理后门】人工智能编码工具如何摧毁终端安全堡垒

【AI代理后门】人工智能编码工具如何摧毁终端安全堡垒

RSAC 2026年大会——旧金山——人工智能被许多人誉为网络安全的游戏规则改变者,但一位研究人员认为这些新工具正在系统性地削弱现代防御体系。

在3月24日周二于旧金山举行RSAC 2026年大会,Check Point Software首席技术专家Oded Vanunu详细介绍了他所称的由AI编码助手实现的客户端攻击“新纪元”。该场名为“当AI代理成为后门:客户端威胁的新纪元”,揭示了AnthropicClaude Code、OpenAI的Codex和谷歌的Gemini等流行工具中的一系列漏洞。

Vanunu告诉Dark Reading,他和他的研究团队过去一年一直在研究人工智能开发工具,并很快发现它们正在危及网络安全行业取得的许多进展。他说,过去十年中,行业发明了“令人惊叹的平台和技术”,以更好地保护终端并将应用执行迁移到云端。

“然后仅仅几个月,我们就发现AI工具基本上摧毁了我们一直以来所为之奋斗的一切,”Vanunu说。

人工智能编码助手如何突破“终端堡垒”

Vanunu表示,得益于20年来网络安全技术的进步,从操作系统加固、沙盒到端点检测与响应(EDR)和浏览器隔离,客户端风险已大幅降低。此外,向软件即服务(SaaS)和云平台的转变有效地将终端变成了瘦客户端,并大幅减少了攻击面。

但这些进步,创造了“端点堡垒”,却被 AI 编码助手推翻,Vanunu 说它们“基本上完全重写了规则”,因为它们需要访问开发者端点的本地文件系统和配置

开发者通常会赋予编码助手最高权限,并赋予他们在网络中的广泛访问权限,这使得代理能够在堡垒墙壁中挖掘隧道。由于代理是自动化且拥有高度特权的,安全技术难以监控他们的行为,判断任务是否恶意。

“目前所有安全产品都是盲的。完全失明,“瓦努努告诉《黑暗阅读》杂志。“他们其实无法完全理解或控制智能人工智能在做什么。”

更糟糕的是,Vanunu表示AI工具本身有巨大的盲点,因为它们把配置文件当作主动执行指令。他说,虽然开发者对.exe文件非常谨慎,但对.json、.env或.toml文件则不那么谨慎。

由于这些配置文件几乎没有人工监督,威胁行为者很容易在配置元数据中放置一行看似无害的文本,从而导致代理执行恶意命令。Vanunu表示,这些配置文件中的元数据“正成为这些组织最大的敌人”,因为它们常常被忽视。

“我们看到的是,攻击者基本上不需要再制造恶意软件了,”他说。“他们可以用配置文件。”

AI编码助手的漏洞

Vanunu的研究团队发现了多个流行AI编码工具中的六个漏洞,这些漏洞此前已被厂商公开并修补。第一个漏洞CVE-2025-59536是Claude代码中的一个高严重性漏洞,允许攻击者在用户接受启动信任对话框之前,欺骗该工具执行项目中包含的恶意代码。

Vanunu解释说,攻击者可以利用该漏洞利用Claude代码钩子(Claude Code Hooks),这些是用户自定义的自动运行壳命令,从而绕过端点检测与响应(EDR)产品。

威胁行为者还可以设计模型上下文协议(MCP)同意绕过。虽然 Claude 需要用户同意才能执行 MCP 服务器插件,但 Claude Code 会自动读取配置,这使得恶意 MCP 服务器可以在信任对话框出现前执行这些文件中的命令。

在OpenAI Codex CLI中,团队发现了一个代码注入漏洞CVE-2025-61260(CVSS评分待定),可用于类似攻击。攻击者可能会利用项目中的 .env 文件将 CLI 重定向到恶意本地的 .toml 配置文件。该文件随后连接攻击者控制的MCP服务器,导致编码工具在未经人工授权的情况下立即执行命令。

研究团队还发现了CVE-2025-54136,这是一个存在于Cursor(人工智能编码平台)中的高严重度远程代码执行(RCE)漏洞。当开发者批准MCP服务器命令时,Cursor将授权绑定到插件名称,而不是批准内容的哈希值。这使得威胁行为者能够执行“交换攻击”,即提交一个无害命令,并在该命令获批后,用恶意负载更新插件。

最后,Vanunu的会议详细介绍了谷歌Gemini CLI中的一个漏洞,该系统未被分配CVE,该漏洞允许威胁行为者在文档文件中将恶意命令伪装成合法脚本。攻击者可以在 GEMINI.md 文件中嵌入恶意命令,工具会在没有用户批准或监督的情况下静默执行。

缓解人工智能代理网络风险

虽然四家公司都解决了该漏洞,但Vanunu表示,他们揭示了威胁行为者容易利用的危险攻击路径。他们还表明“开发商是新的边界”。

为减轻此类威胁,他敦促组织首先对其组织进行全面审计,识别所有正在使用的人工智能技术,尤其是“影子人工智能”工具,并分析所有配置和项目元数据以寻找可疑内容。

其次,他建议组织对编码工具实施隔离,要求所有AI自动化的壳任务先在沙盒中运行。最后,他敦促安全团队采用“配置=代码”政策,将开发工作站视为零信任环境,文本未经验证无法执行。

“关键是,这就是新的边界,”瓦努努说。“我们还需要重新设计安全措施。”

安情视界——洞见未来,智掌先机,持续追踪全球安全动态,精准解读政策与事件,深度预测研判趋势,护航企业全球化征程。

华创科技(北京),致力于:
AI安全产品研发与定制:提供大模型系统安全评估系统/AI攻防靶场、大模型防火墙、数据沙箱、RBIweb安全防护、全流量威胁分析、敏感信息检查等系列产品的定制开发,以及网络安全方案的咨询、规划、集成。
企业级数据安全治理:提供数据安全规划、数据安全评估、数据资产梳理、数据分类分级、数据安全规范编制、数据安全整改、渗透测试等系列服务。

企业级网络安全培训:提供网络安全意识(O)、网络安全专业技能(T)、网络安全领导力管理(M)、网络安全运维管理(P)、数据安全治理(D)、网络&数据安全攻防演练(N/D Attack/Defense Exercise)等系列培训服务。

联系我们:13301398120    010-64937155