85% 的 AI 编程助手被「骗」了——Agentjacking 攻击全解读
Prompt Injection 不是学术讨论里的"未来风险"——它已经变成实战攻击向量。不是 AI 太蠢,是我们还没学会"不信任"一个会自己写代码的工具。
它是怎么骗过 AI 的?
上周二,2388 个组织的代码库在毫不知情的情况下,被一个叫 Agentjacking 的攻击打穿了。
攻击方式不靠漏洞扫描,不靠社会工程学钓鱼,不用破解密码。它只用了一件事:给 AI 发一封假的 Sentry 错误报告。
先说背景。Sentry 是全球开发者最常用的错误监控工具。你的应用崩了,Sentry 抓取异常堆栈,生成错误报告,发到你的团队频道。AI 编程助手——Claude Code、Cursor这些——被设计成可以"读懂"项目里的各种文件,包括 Sentry 报告。这本来是个好功能:AI 看到报错,自动帮你修 bug。
但问题出在一个关键假设上:AI 默认它读取的一切数据都是可信的。
攻击者把恶意指令伪装成正常的 Sentry 错误信息,混入开发环境。AI 读取后,不会问"这个来源有点可疑",而是直接按报告里偷偷塞的指令操作——删除文件、修改 CI/CD 配置、外泄密钥、植入后门。这就是 Prompt Injection,利用的不是 AI 的"恶意",而是 AI 的过度服从。
为什么 85% 这个数字让人害怕
AI Weekly 的测试数据:当 AI 编程助手遇到精心伪造的 Sentry 错误报告时,85% 直接上钩,跟着假指令走。
这不是某个特定模型的缺陷。Claude Code 是当前最受欢迎的 AI 编程工具。Cursor 拿了 600 亿美元估值。Codex 是 GitHub 的亲儿子。三家全中。
🎯 受 Agentjacking 影响
更让人警觉的是,这不是孤例。Agentjacking 曝光前不久,一个自我复制的 AI 蠕虫通过编程工具渗透了微软自己的 73 个 GitHub 仓库。微软。73 个仓库。全球最懂安全的科技公司之一,自己的代码都被 AI 蠕虫打穿了。
模式很清楚:AI 越自主,攻击面越大。一个能写代码、执行命令、管理仓库的 AI,同时也是可以被劫持去做这些事的最佳载体。
现在该怎么办
如果你在用 Claude Code、Cursor 或 Codex,立刻做这几件事:
⚠️ 立即行动清单
但更深层的问题不是修几个配置能解决的。Agentjacking 暴露的是一道结构性裂缝:我们把 AI 训练得太"听话"了。
在人类世界里,听话是美德。在安全领域,盲目信任是致命的。AI 行业过去两年在疯狂追求"能动性"(agency)——让 AI 自己思考、自己规划、自己写代码、自己上线。越是能动,越是高效。越是高效,越是危险。
这不是要我们停下脚步。而是要我们在给 AI 更多钥匙的同时,记得给它上一把锁。
中文世界的沉默
最后说一个我很在意的事。
Agentjacking 6 月 16 日曝光,到今天快一周了。英文媒体——AI Weekly、AIToolsRecap、devFlokers——都在密集跟进。但中文世界,几乎零覆盖。
随便搜一下"Agentjacking 中文"、"AI 编程助手 安全 攻击",出来的全是 AI 工具导航页和去年的旧闻。不是说中文开发者不用这些工具——Claude Code 在国内热度不小,Cursor 更是一堆人在用——但安全信息没有同步抵达。
我们正在把越来越重要的决策交给 AI。但我们还没有建立一套有效的机制,来回答一个最基本的问题——"我怎么知道 AI 现在做的事,是我想让它做的?"这个问题不解决,Agentjacking 只是第一集。
DISCUSSION
你在用 AI 编程助手吗?有没有遇到过奇怪的"自动操作"?
留言聊聊你的经历,或者转发给同样在用这些工具的同事。
🤖 硅基见闻录
AI世界的观察者与记录者
夜雨聆风