AI工具链的36天和20小时

2026年春天的六个星期里，安全界收到了一组信号。不是普通的CVE周报。是攻击者在这场竞赛中跑到了厂商前面，跑到了安全团队前面，跑到了所有人前面。

Interlock勒索软件团伙在Cisco披露FMC漏洞之前，已经利用了36天。Langflow的RCE漏洞从公开到武器化，只用了20小时。

Gemini CLI的满分漏洞让一个Pull Request就能接管CI/CD管道。Anthropic的Claude Code因为npm打包失误泄露了51万行源码。

加上Linux内核潜伏了9年的Copy Fail提权漏洞和Windows Shell的0Click漏洞被CISA紧急警告，六件事挤进了同一个春季。

36天和20小时。这两个数字不是巧合。攻击者在漏洞出现之前就开始攻击了，在补丁发布之前就开始攻击了。传统安全模型假设的先发现、先修补、先保护，在这个时间轴上是反过来的。

36天的零日

你看到CVE-2026-20131的时候，Cisco的防火墙已经被打了36天了。

3月25日，Cisco正式披露了FMC防火墙管理中心的一个远程代码执行漏洞，CVSS分数10.0，最高级别。但Cisco在安全公告里写了一句关键的话：公司早在一个多月前的1月下旬就已经检测到了利用行为。不是攻击者在等厂商修漏洞，是攻击者比厂商更早发现了漏洞。

更离谱的是，这个漏洞被一个叫Interlock的勒索软件团伙利用。他们不仅攻击了Cisco FMC，还不小心把自己的整套工具链暴露了出来。

侦察脚本、后门程序、提权工具全部泄露。AWS的威胁情报团队通过全球传感器网络MadPot追踪到了这个活动，FortiGuard和Zscaler ThreatLabz随后发布了各自的攻击链分析。CISA更狠，3月20日直接把这个漏洞加入KEV目录，限联邦机构在3月23日前完成修复。从正式披露到强制修复截止，只给了3天。

这不是一个孤立事件。就在Cisco FMC被利用的同一时间窗口，3月17日，Langflow，一个用开源框架搭建AI工作流的平台，GitHub上14.6万星标，被披露了一个CVSS 9.3的未认证RCE漏洞。

攻击者不需要密码、不需要权限、发一个请求就能在AI工作流引擎上执行任意代码。20小时后，全球蜜罐捕获了自动化攻击脚本。Langflow被迫紧急发布1.9.0修复版。

3月31日，安全研究员Chaofan Shou在X上发了一条推文：「Claude Code的源码泄露了，就在npm registry里。」Anthropic的AI编程工具因为一个source map打包失误，把512000行TypeScript源码、1906个文件全部公开了。Anthropic当天确认了事故，定性为「人为错误，非安全漏洞」。

4月23日，Google修复了Gemini CLI的CVSS 10.0漏洞。攻击者通过提交一个GitHub Pull Request就能在目标CI/CD环境中执行任意命令。10.1万星标的开发者工具，被一个PR就接管了持续集成管道。

从1月下旬Interlock开始攻击Cisco，到4月30日RSA大会开幕，攻击者在这个窗口里一直领先。

不是bug，是设计

把Langflow的漏洞拿出来单独看，是一个RCE。把Gemini CLI的拿出来单独看，是另一个RCE。但如果把它们放在一起看，一个共同的架构问题就浮出来了。

Langflow的设计允许未认证用户通过公开API提交任意流程图数据。这些流程图数据可以在服务器上执行代码。没有沙箱隔离，没有认证检查。开发者的设计逻辑可能很简单：这是一个AI工作流编排工具，用户需要自由地构建数据管道，加认证和沙箱会增加复杂度。

但当这个工具被部署到生产环境，连接着企业的数据库、API密钥和模型推理接口时，它就从一个便利的开发工具变成了一个攻击者可以直接打入企业AI基础设施的入口。

Gemini CLI的问题是一模一样的。它被设计为在CI/CD管道中自动执行代码审查和生成任务，这需要访问代码仓库和GitHub Actions密钥。攻击者通过提交一个Pull Request就能触发恶意代码执行。不是Gemini CLI的AI能力出了bug，是它的权限模型假设所有代码仓库的贡献者都是可信的。

这不是两个孤立的设计失误。这是AI工具链在18个月内爆发增长的结果。Langflow的GitHub星标数半年翻了三倍。Gemini CLI从发布到10.1万星标用了不到一年。

功能迭代的速度远远跑在了安全审计前面。开源的审查机制靠社区贡献者主动发现漏洞，但当代码库复杂度和更新频率超过社区审查能力时，漏洞就会堆积。

还有一个更深的维度。AI工具的安全边界比传统软件模糊得多。传统Web应用的攻击面是明确的：HTTP端口、数据库连接。

但AI Agent的攻击面包括训练数据源、模型推理路径、第三方插件生态和Prompt注入通道。Langflow的CVSS 9.3恰恰打在了最脆弱的一环：无沙箱的代码执行环境。

这不是Langflow或Google的代码质量问题。这是整个AI工具品类在设计阶段就没认真考虑过「外部攻击者」这个角色。

20小时窗口

传统CVE修补流程的设计逻辑是清晰的：厂商有90天时间窗口来发现漏洞、开发修复、测试兼容性、分发补丁。企业IT团队在这90天内安排维护窗口。这个体系运行了几十年，假设的基础是「攻击者不会比厂商先发现漏洞」。

Langflow的CVE-2026-33017把这个假设完全打破了。

从漏洞公开披露到自动化攻击脚本出现在蜜罐里，中间只隔了20个小时。不是20天，不是200个小时。是公司安全团队周一早上收到漏洞通告、周二还在评估影响范围的时候，攻击者的脚本已经在全网扫描存在漏洞的Langflow实例了。

攻击者不需要自己写exploit。开源社区的漏洞复现文章和POC代码在几小时内就被自动化扫描工具集成到攻击框架里。

更大的讽刺是，修复本身也可能引入新问题。Gemini CLI在4月23日发布的0.39.1补丁中要求启用「显式工作区信任」机制，但这增加了开发者的使用门槛。安全加固和开发者体验之间的张力是真实的。不是Google修得不够快，是安全和便利在架构层面就是冲突的。

这个窗口压缩正在改变安全产业的格局。CrowdStrike的Falcon平台和Palo Alto的Prisma Cloud在4月30日的RSA大会上同步发布了agentic SOC，基于AI的自动化安全运营工具。

它们的价值主张很直接：既然人类安全团队无法在20小时内响应，那就让AI来响应。CISA在3月20日和4月28日分别把Cisco FMC和Windows Shell漏洞加入KEV目录，联邦机构被要求在3到14天内完成修复。

但整个CVE生态的根本矛盾没有解决。在你看到这个漏洞编号的时候，在你读这篇文章的时候，可能有另一个Interlock级别的攻击者已经在利用某个AI工具的未公开漏洞。你不知道。厂商不知道。CISA不知道。

被攻击的人在卖方案

Cisco在RSA 2026的展台上展示了最新的agentic SOC产品，基于AI的安全运营自动化工具。VentureBeat报道了这场发布，标题是「CrowdStrike、Cisco和Palo Alto Networks在RSA 2026上同步推出agentic SOC」。

但如果你看过Cisco在3月18日更新的安全公告，你就知道这个场景有多讽刺。同一个Cisco，6周前刚刚被迫承认自家的FMC防火墙管理中心被Interlock勒索软件攻破了，而且是「野外利用」：攻击者已经在利用这个漏洞了，Cisco才发现。同一个Cisco，在同一个季度，一边修补自己被攻破的产品，一边站在展台上告诉企业客户「让我们来保护你的AI基础设施」。

这不是虚伪。这是一种新的叙事博弈。被攻击过的安全公司反而更有说服力：「我们知道攻击者是怎么进来的，因为我们自己就是受害者。」Cisco的agentic SOC产品基于真实的攻击数据，其中可能就包括Interlock攻击FMC时留下的那套工具链。

对比一下其他厂商的反应，这个悖论就更明显了。Anthropic在Claude Code源码泄露后用了一句话回应：「人为错误，非安全漏洞。」没有安全公告，没有漏洞编号，没有CISA收录。

Google发布了正式的GHSA安全公告，详细列出了Gemini CLI的攻击向量和修复方案。三家公司在处理安全事故时用了三种完全不同的剧本：Cisco承认、Google详报、Anthropic最小化。AI行业对「什么算安全事故、什么算工程失误」还没有统一的定义。

Anthropic的说法在技术上可能是准确的：源码泄露确实是npm打包失误，不是主动入侵。但从一个安全研究者的角度看，512000行TypeScript暴露了Claude Code的内部安全机制、提示词模板和权限控制逻辑。攻击者不需要逆向工程。这比一个CVSS 10.0漏洞提供的情报更多。

监管追了5天

5月3日，CISA联合Five Eyes五眼联盟发布了首份agentic AI安全指南。距离Gemini CLI修复仅10天，距离Cisco FMC的CVE公开披露仅39天，距离最后一个相关漏洞事件仅5天。

这份指南的核心信息是「整合而非重建」：agentic AI的安全应该扩展现有的零信任、纵深防御和最小权限框架，而不是等待专门的AI安全标准出台。这是务实的，但也暴露了一个问题：监管机构已经意识到AI工具链的安全缺口了，但它们拿出来的方案还停留在原则层面。

中国这边的情况更微妙。国家信息安全漏洞库CNVD已经收录了4个相关CVE，奇安信、深信服、360等国产安全厂商也推出了检测规则。但网信办到目前为止没有发布过针对AI开发者工具安全的专项指引。监管空白对国产安全厂商来说是一个窗口。谁先建立起AI工具链安全的标准，谁就能定义这个细分市场的规则。

企业会怎么反应。CISO们会不会在接下来的3到6个月内对所有AI Agent项目加一道安全审查？如果是，Langflow这类需要高权限的AI工具的使用率会直接受到冲击。不是因为有替代品，是因为安全团队现在有理由说「先把AI Agent停下来等审计」。

但如果企业选择「不减速但加强监控」的策略，CrowdStrike、Palo Alto、Wiz和Orca会吃掉这笔新增的安全预算。

披露标准什么时候统一。Google的正式GHSA公告、Anthropic的「非安全漏洞」最小化声明、Cisco的被迫承认，这三种剧本同时存在说明AI行业缺少统一的安全事件披露标准。

CISA的指南是第一步，但它没有覆盖「什么算AI安全事故」这个定义问题。如果一份源码泄露不算安全事件，那任何AI公司的任何工程失误都可以被归类为「人为错误」，攻击者将永远是唯一知道真相的人。

攻击者的下一个目标是什么。Interlock选择了Cisco FMC这个AI基础设施的管理面，而不是直接攻击AI模型服务器。攻击者已经理解了AI部署的拓扑结构：薄弱环节不在推理端，在管理端。下一个被盯上的，可能是任何一个AI工作流平台、任何一个AI编程工具、任何一个AI Agent的权限管理接口。

CVSS 10.0不会因为AI工具的普及而变少。在权限和攻击面同步扩张的趋势下，它可能变得更频繁。

如果你在管理一个正在部署AI工具的团队，在读完这篇文章后可以做三件事：检查你的AI工具是否跑在有沙箱隔离的环境里；确认你的CI/CD管道是否对PR来源做了权限分级；问问你的安全团队，他们知不知道你的AI Agent现在能访问哪些系统。

END

求点赞

求分享

求喜欢