夜雨聆风
Cracken安全研究人员首次对12款广泛部署的自主式红队系统(AI驱动的自动化渗透测试工具)进行了深度安全分析。研究发现这些工具存在重大架构缺陷,可使攻击者窃取LLM API密钥、建立持久控制,甚至在沙箱容器内实现完全主机入侵。
Part01
红队AI工具工作原理
这些自主式红队系统是完全由LLM驱动的自动化平台,用于模拟攻击性安全操作(包括黑盒渗透测试)。研究涵盖PentestGPT、RedAmon、DarkMoon、AIRecon、CAI、PentAGI、STRIX、Artemis、METATRON等12款主流开源工具,均采用大型语言模型编排器与Kali Linux工作容器的组合架构,可对目标执行任意shell命令。
Part02
定制化攻击杀伤链
研究人员构建了针对自主红队系统的专属攻击杀伤链,包含五个阶段:
1. 通过Agent操控实现工作容器RCE:攻击者部署含恶意载荷的蜜罐,Agent在无提示注入情况下自动下载执行,获取工作容器反向shell。
2. 权限提升:工作容器与编排容器间薄弱的文件系统/网络隔离允许横向移动。例如PentestGPT中可写的Docker卷暴露编排器settings.json文件,实现每次会话启动时触发编排器RCE。
3. 持久化:攻击者污染非易失性组件(源代码文件、绑定挂载的MCP服务器目录或情景记忆存储),木马化代码在容器重启时自动重建控制。
4. 沙箱逃逸:错误配置的Docker套接字挂载和主机网络访问使攻击者可直接在宿主机Docker守护进程上创建容器。
5. 主机沦陷:最终在操作者机器上实现任意代码执行,部署传统C2并进行后续攻击活动。
Part03
新型Agent钓鱼攻击
研究揭示了一种成功率高达97.8%的新型Agent钓鱼技术(无需提示注入)。攻击者在蜜罐部署功能正常的二进制文件(如名为pwcrypt的密码库解密工具),附带逼真的README和伪造的CI流水线日志。Agent下载执行该含自植入内存破坏漏洞的二进制文件后,控制流被劫持实现任意代码执行。该技术成功绕过Claude Opus 4.8、GPT-5.5、Gemini 3.1 Pro、DeepSeek V4 Pro、GLM-5.1和Kimi K2.6的检测。
Part04
安全防护失效现状
12款工具中有11款存在密钥泄露风险,多数框架将工作容器与编排器置于同一容器,直接暴露LLM API密钥和跨会话内存。RedAmon中共享的API密钥和未认证Docker桥接网络使攻击者可窃取所有会话的对话历史及目标凭证。尽管7款工具部署了防护措施(规则过滤或LLM验证),但研究证实均无效——防护仅作用于编排层,无法监控实际工作容器网络活动。
该发现与微软近期披露的Semantic Kernel漏洞(CVE-2026-25592、CVE-2026-26030)相呼应,证实LLM不能作为安全边界。研究人员建议将LLM工作容器视为不可信环境,采用严格的工作-编排分离架构、认证网络分段、密钥隔离(API密钥绝不进入工作容器)、网络出口过滤及操作间重建的不可变文件系统等防护原则。
参考来源:
Red-Team AI Tool Vulnerabilities Let Attackers Exfiltrate API Keys and Compromise Operators' Systems
https://cybersecuritynews.com/red-team-ai-tool-vulnerabilities/
电报讨论
