你的 AI 编程助手可能在帮你写代码的同时,也在帮黑客写入侵脚本。
这不是科幻剧情。一种代号 Agentjacking 的新型攻击已经被验证可行——测试中 85% 的成功率,2388 家组织的系统暴露在风险下。受影响的是 Claude Code、Cursor、GitHub Codex——你大概率正在用其中一个。
攻击方法简单到让人后怕。
黑客让 AI 助手主动把自己卖了。
怎么做到的?得先搞清楚 AI 编程助手怎么处理外部信息。
Claude Code、Cursor 这类工具在运行时会自动读取项目里的日志、报错、Issue——你装过 Sentry 吧?它是一个错误监控工具,每次代码出 bug 会自动生成报告。Agentjacking 做的就是:伪造 Sentry 错误消息,假装项目出了 bug,然后 AI 助手看到报错就主动跑去按「修复建议」执行了——那其实是黑客的命令。
举个例子你就懂了。
小区快递柜旁边贴了一张假的取件通知,上面印着「扫码取件,超时将收费 50 元」。你扫了,进了钓鱼网站,输了账号密码。Agentjacking 干的差不多就是这件事——它在你的开发环境里贴了一张假的「系统报错通知」,AI 助手信了,按上面的指示去操作了。只不过它不是输账号密码,而是直接在代码库里执行恶意命令。
装了 AI 助手,不等于开了个后门
问题的本质不在于 Sentry 有没有漏洞——Sentry 本身是安全的。问题在于:AI 编程助手没有「可信来源」的概念。它不会分辨一条报错是真来自 Sentry 服务器还是有人伪造的。只要往项目里引用了外部数据(第三方 Issue、公共 PR、NPM 包里的假错误日志),AI 助手照读不误,照执行不误。
测试数据触目惊心:
• 85% 的测试中,AI 助手毫无抵抗地执行了伪造指令
• 2388 家组织的已暴露系统被标记——换句话说,每看 12 家在用 AI 编程的公司,就有 1 家的配置已经出了问题
• 攻击者不需要 0-day 漏洞,不需要暴力破解——只管往 CI/CD 管线里塞一条伪造的日志
这个攻击路径不是第一次出现了。这个月初,一个自复制的 AI 蠕虫直接感染了微软自己的 73 个 GitHub 仓库。当时很多人觉得「那是 PoC,不会有人真用」。Agentjacking 证明了一件事:这类攻击已经从理论变成了现实,而且比想象的更简单、危害更大。
现在能做什么
• 检查 Sentry 集成 — 确认 DSN 和 webhook 配置没有被篡改过
• 审查最近 AI 助手活动日志 — 有没有莫名其妙执行过的命令、被修改的文件
• 限制 AI 助手权限 — 限制它能读写的目录和能执行的命令,别给全盘权限
• 把外部数据源当不可信输入 — 报错日志、Issue、PR 评论在喂给 AI 之前先过一层审核
• 锁定 Sentry SDK 版本 — 别用 latest,指定版本号并在更新前验证校验和
这跟我们有什么关系
• 在用 Claude Code / Cursor / Codex 的 — 直接受影响。先把 AI 助手的文件系统权限缩到最小,再排查有没有被入侵的痕迹
• 团队里有人用 AI 编程的 — 建议在团队周会上花 10 分钟过一遍风险,特别是 CI/CD 管线里跑了 AI agent 的
• 用的不是 AI 编程工具 — 暂时安全。但 Agentjacking 这种攻击模式(通过伪造第三方数据诱导 AI 执行操作)迟早会蔓延到 AI 聊天、AI 客服、AI 自动化——原理是通用的
Agentjacking 本质上是信任漏洞,不是代码漏洞。我们越来越习惯把「AI 能做到的」交给 AI 去做,但在教 AI 怎么用工具之前,得先教会它怎么分辨谁是敌人。
参考:AIToolsRecap、The Hacker News
深入阅读:
LiteLLM Three-CVE Chain (CVSS 9.9):AI Gateway 全量服务器接管漏洞
https://thehackernews.com/2026/06/litellm-three-cve-chain-cvss-99-enables.html
AI 自复制蠕虫感染微软 73 个 GitHub 仓库
https://www.wired.com/story/ai-worm-microsoft-github-repos/
夜雨聆风