乐于分享
好东西不私藏
当前位置:夜雨聆风 > 技术教程 > 软件教程 > 代码审计新盲区:当AI Agent的“工具链”成为攻击高速公路

代码审计新盲区:当AI Agent的“工具链”成为攻击高速公路

当前时间: 2026-05-06 09:27:06 更新时间: 2026-05-06 分类:软件教程 评论(0)

代码审计新盲区:当AI Agent的“工具链”成为攻击高速公路

代码审计新盲区:当AI Agent的“工具链”成为攻击高速公路

最近安全圈有几个消息放在一起看,挺有意思的。

一边是Anthropic发布的Claude Opus 4.6模型,在没有任何专门指令和领域知识的情况下,靠常规工具就挖出了500多个经验证的零日漏洞。另一边是中山大学的研究团队,在20个主流开源LLM智能体应用里发现了365个漏洞,其中超过82%需要跨越多个工具才能触发。

这两个事其实指向同一个问题:代码审计的对象正在发生变化,而我们现有的审计思路可能已经跟不上了。

传统审计的盲区:单点安全不等于链路安全

过去做代码审计,核心逻辑是“看代码”。我们逐行审查函数逻辑,检查参数校验,确认是否存在注入点。这种思路在单体应用时代是有效的,因为漏洞通常发生在单一函数或单一接口内部。

但AI Agent的架构完全不一样。一个典型的Agent工作流可能是这样的:先调用web_search查找资料,再用download下载文件,接着用write_file保存内容,最后用run执行代码。这四步单独看,每个工具可能都是安全的——参数校验到位,权限控制严格。但问题出在工具之间的数据传递上。

ChainFuzzer的研究团队把这个现象称为“多工具漏洞”。简单说就是:攻击者污染了第一个工具的输出,这个被污染的数据通过文件、数据库记录等中间产物,一路传播到最后一个高危操作(比如命令执行)。传统审计只检查单个工具,根本发现不了这种跨步骤的“链式攻击”。

一个被低估的风险点:Agent的“权限漂移”

除了工具链漏洞,AI Agent的权限管理也是个被严重忽视的问题。传统身份管理(IAM)体系假设用户和服务账户有清晰的身份、明确的权限边界和定期的审查机制。但AI Agent完全不符合这些假设。

个人觉得,最危险的是“组织级Agent”——那些跨团队共享、拥有广泛持久权限、但没有明确所有者的Agent。它们被部署后,随着使用范围扩大,会悄悄积累权限。集成不断增加,角色持续变更,但Agent的访问权限始终留存。结果就是:一个员工本来没有权限访问某个数据库,但他可以调用一个拥有该权限的Agent来间接完成操作。这在技术上是合法的,因为Agent确实有权限,但从安全角度看,这就是典型的授权绕行

更麻烦的是,这种Agent往往没有明确的所有者。出问题的时候,没人知道该谁负责,甚至没人完全清楚这个Agent到底能干什么。

审计方法需要升级:从“读代码”到“测行为”

面对这种情况,传统的代码审计方法确实有点力不从心。就像文章里提到的那个例子:开发者用AI重构了5000行代码,自己只能理解不到30%的实现细节,但所有测试都通过了。这说明代码的可读性正在退居次要位置,工程信任的基础正在转向“可验证性”

对于安全审计来说,这意味着:

第一,审计对象要从“代码”转向“工具链”。 不能只看单个函数是否安全,要画清楚工具之间的数据流依赖图。ChainFuzzer的做法值得参考:先找出所有存在高危操作(命令执行、代码执行、SSRF等)的“Sink工具”,然后向上追溯所有可能向它传递数据的上游工具,形成完整的工具链图。

第二,测试要覆盖“多步骤组合场景”。 单工具测试会严重低估风险。ChainFuzzer的实验数据很说明问题:多工具漏洞的发现量是单工具的4.79倍。这意味着,如果你只测单个工具,可能漏掉80%以上的漏洞。

第三,要关注“防护机制绕过”。 现在的LLM都有一定的安全防护能力,但攻击者可以通过载荷变异来绕过。比如把恶意载荷分片成多个看似无害的片段,后期再重组;或者对载荷进行编码,依赖下游解释器恢复。ChainFuzzer的实验显示,这种变异策略能把载荷触发率从18.2%提升到88.6%。

一个具体的案例:Langflow的RCE漏洞

说到这,可以看看最近曝出的Langflow远程代码执行漏洞(CVE-2026-33017)。这个漏洞的CVSS评分是10.0,属于最高危级别。

问题出在build_public_tmp接口上。这个接口本意是为公共流程提供免认证构建服务,但它错误地接受了外部传入的data参数。攻击者可以通过构造恶意节点定义,把任意Python代码注入到exec()函数中执行。这意味着,攻击者不需要任何权限,就能在服务器上执行任意命令。

这个漏洞的本质是什么?接口设计时没有区分“用户输入”和“内部数据”。在AI Agent的场景里,这种问题会成倍放大——因为Agent的工作流涉及大量数据在不同工具之间流转,任何一个环节的输入校验不到位,都可能成为攻击入口。

总结

代码审计正在进入一个新阶段。过去我们审计的是“人写的代码”,现在要审计的是“AI生成的代码”和“工具之间的交互逻辑”。审计方法也需要从“逐行读代码”转向“测试系统行为”。

有研究表明,AI Agent的普及会让安全产业出现大扩容。但前提是,安全从业者得先意识到:攻击面已经变了,审计思路也得跟着变。 如果你还在用传统方法审计AI系统,那很可能是在“用后视镜开车”。