文章总结： 本文复盘BlackHatEurope2025，指出AI安全攻防已转向基础设施与Agent生态。议题涵盖推理引擎内存破坏、Token注入DoS、图像预处理对抗样本及Pickle供应链防御。同时分析了利用MCP协议与AI联网功能实施RCE的攻击手段，以及结合LLM优化SAST代码审计的方案，展示了AI安全深水区的新战法。 综合评分： 88 文章分类： AI安全,漏洞分析,代码审计,渗透测试,安全工具

【深度复盘】Black Hat Europe 2025：AI 安全攻防的新战场—从基础设施到Agent生态

安全极客

2025年12月26日 11:30 北京

Black Hat Europe 2025已落下帷幕，回顾本次大会，我们看到AI安全不再小众，而是如今谈论最多的话题之一。今年的议题也显现出安全研究者的兴趣明显“左移”和“下沉”，从单纯关注模型本身的对抗样本，转向了对AI基础设施底层（推理引擎、序列化）、Agent交互协议、AI开发加速工具等方向的研究。

盘点本次大会不容错过的9个精选议题，一起来看看AI攻防的最新趋势。

1

基础设施“裸奔”：推理 引擎与预处理

除了模型本身之外，运行模型的“基础设施”也在成为 新的攻击目标。 无论是底层推理框架、输入预处理算法，还是序列化机制，任何一个环节的失误都会使整个系统坍塌。

1. 击穿推理引擎底层

议题：Breaking AI Inference Systems: Lessons from Pwn2Own Berlin

出品方：Thylacine/独立研究员

议题内容：揭示了vLLM、TGI等主流推理框架中存在的内存破坏漏洞，并演示了如何在Pwn2Own比赛中利用这些漏洞实现容器逃逸。

深度点评

这是实战阵地的一份报告。作者基于Pwn2Own大赛经历，直面vLLM、TGI等主流推理系统发起挑衅。这不仅仅是算法问题，也是在AI时代爆发的经典内存安全+逻辑漏洞攻击。对于构建自己的AI推理服务的公司来说，在基础引擎中修补漏洞可能是比微调模型更紧迫的任务。

2. 特殊Token的拒绝服务攻击

议题：Token Injection: Crashing LLM Inference with Special Tokens

出品方：蚂蚁集团/华中科技大学（HUST）

议题内容：发现通过向LLM注入特定的控制字符（Control Tokens），可绕过上层过滤直接触发底层推理引擎崩溃，导致拒绝服务（DoS）。

深度点评

这是一记漂亮的“四两拨千金”的攻击。不需要复杂的 Prompt注入，只需要注入“特殊 Token”就会触发推理引擎的异常处理逻辑崩溃。这又一次提醒开发者：LLM的输入过滤不能仅看语义更要看底层token的解析逻辑。

3. 图像缩放中的“隐形”对抗

议题：Weaponizing Image Scaling Against Production AI Systems

出品方：Trail of Bits

议题内容：探讨了利用图像缩放算法（如 Bilinear vs Nearest）的差异性，构造出“人类肉眼与机器视觉不一致”的对抗样本，从而欺骗下游模型。

深度点评

攻击常常发生在模型看到数据之前。这个话题揭示了“预处理管道”是生产级 AI 系统中非常容易被忽视的一环。攻击者无需触碰模型权重，即可通过操纵像素利用缩放算法的差异实施对抗攻击。提醒我们：在使用传统的图像处理库 (OpenCV、Pillow) 来做预处理时，也要注意其自身攻击面带来的影响。

4. 供应链的幽灵：Pickle 反序列化防御

议题：Dill with It: Pickle Exploitation Techniques and Their Detection Using SaferPickle

● 出品方： Google

● 议题内容：Pickle无法彻底弃用，Google发布了SaferPickle工具，通过在反序列化过程中动态分析字节码行为，拦截潜在的RCE攻击。

深度点评

Python Pickle是ML模型分发的“通用语言”， 但同样是安全领域的“噩梦”。由 Google推出的SaferPickle工具及新型的利用链分析，是在承认完全抛弃Pickle是不现实的。如何在运行时检测反序列化攻击，成为ML供应链安全的关键一战。

2

Agent 生态的信任危机：协议与交互

当AI发展成为Agent并开始联网、调用工具时，信任边界就被打破了。攻击者不再仅仅满足于让模型说话而欺骗它们，而是试图控制Agent的“手”去执行恶意行为。

5. AI 搜索的黑暗面：服务端浏览器RCE

议题：AI Search’s Dark Side: How We Turned AI’s Web Browsing into a Gateway

出品方：腾讯安全玄武实验室

议题内容：演示了利用SEO投毒诱导AI联网插件访问恶意网页，进而将AI作为一个高权限代理，实施内网探测或敏感信息窃取。

深度点评

针对集成Web浏览功能的AI（如ChatGPT Search）的重磅研究。攻击者通过SEO污染和Prompt注入，引诱AI的服务端浏览器访问恶意网页，从而触发RCE。该研究揭示：AI的联网能力其实就是把服务器端的浏览器暴露在了全互联网的火力之下。

6. 攻陷通用连接器：MCP协议漏洞

议题：MCP Unchained: Compromising the AI Agent Ecosystem via Its Universal Connector

出品方：腾讯朱雀实验室

议题内容：深入剖析了Model Context Protocol (MCP) 的架构缺陷，展示了攻击者如何利用协议层面的鉴权缺失，实现跨Agent的未授权访问与控制。

深度点评

MCP（模型上下文协议）被设计为Agent互联的“USB接口”，但通用性带来的往往是安全风险。该议题分享了MCP协议自身的设计缺陷与不安全的官方示例代码导致的“AI原生钓鱼”与数据泄露风险，并开源MCP安全扫描工具A.I.G（https://github.com/Tencent/AI-Infra-Guard ）。随着Agent生态的爆发，挑战将逐渐集中在外部工具与互联协议（Protocol-level）的攻击上。

7. 以毒攻毒：自动化挖掘Agent逻辑漏洞

议题：Make Agent Defeat Agent: Automatic Detection of Taint-Style Vulnerabilities

出品方：复旦大学/字节跳动

议题内容：提出了一种自动化红队框架，利用攻击者Agent自动生成测试用例，专门挖掘基于LLM的Agent系统中的污点传播类逻辑漏洞。

深度点评

既然Agent逻辑越来越复杂，那就用魔法打败魔法。利用“攻击者Agent”自动化生成测试用例来挖掘“污点类型”漏洞，这一思路代表了在LLM时代下Fuzzing技术的智能化升级。自动化红队（Red Teaming）工具是未来的标配。

3

AI For Security：从噪音中提炼真相

AI不仅仅是攻击目标，更是安全防御的利器。今年的议题展示了AI如何解决传统安全工具（如SAST）的痛点。

8. 降噪革命：LLM拯救CodeQL

议题：Flaw and Order: Finding the Needle in the Haystack of CodeQL using LLMs

出品方：CyberArk Labs

议题内容：发布了Vulnhalla工具，通过集成LLM对CodeQL扫描出的海量结果进行二次语义分析，大幅降低静态代码分析的误报率。

深度点评

静态分析（SAST）的最大痛点是高误报。该议题提出的“Vulnhalla”是基于 LLM 的语义理解能力对 CodeQL 的结果输出进行二次清洗，在 Linux 内核中落地验证了该方法的有效性。由此可见，“传统规则引擎 + LLM 语义过滤”是提升代码审计效率的最优组合。

9. 终极对决：SAST vs LLM基准测试

议题：Unsafe Code Detection Benchmark: Stress-Testing SAST and LLMs

●  出品方： Doyensec/Maastricht University

● 议题内容：构建了一套针对现代Web后端的漏洞检测基准测试集，量化对比了传统SAST工具与各类LLM在代码审计场景下的真实检出率与准确度。

深度点评

这是针对现代Web后端的基准测试，将传统SAST工具与LLM在漏洞检测能力上做了对比评测。对于有意向开展DevSecOps选型的企业来讲，这份Benchmark具有较高的参考价值、为企业的解决方案选型提供了良好的数据支撑。

结语

在Black Hat Europe 2025的议题中，我们可以清楚地感受到：AI安全不再停留在“提示词注入”的初级阶段，而是深入到底层内存安全、协议交互逻辑及供应链治理的深水区。对于安全工作者来说，理解这些新的战场，是我们在AI时代保持竞争力的关键。

附：以上提到的议题链接

1. Breaking AI Inference Systems: Lessons From Pwn2Own Berlin

   https://blackhat.com/eu-25/briefings/schedule/index.html#breaking-ai-inference-systems-lessons-from-pwn2own-berlin-48948

2. Token Injection: Crashing LLM Inference With Special Tokens

   https://blackhat.com/eu-25/briefings/schedule/index.html#token-injection-crashing-llm-inference-with-special-tokens-48830

3. Weaponizing Image Scaling Against Production AI Systems

   https://blackhat.com/eu-25/briefings/schedule/index.html#weaponizing-image-scaling-against-production-ai-systems-49911

4. Dill With It: Pickle Exploitation Techniques And Their Detection Using SaferPickle

   https://blackhat.com/eu-25/briefings/schedule/index.html#dill-with-it-pickle-exploitation-techniques-and-their-detection-using-saferpickle-49138

5. AI Search’s Dark Side: How We Turned AI’s ‘Web Browsing’ Into A Gateway For Targeting 1B+ Users

   https://blackhat.com/eu-25/briefings/schedule/index.html#ai-searchs-dark-side-how-we-turned-ais-web-browsing-into-a-gateway-for-targeting-1b-users-49085

6. Make Agent Defeat Agent: Automatic Detection of Taint-Style Vulnerabilities in LLM-based Agents

   https://blackhat.com/eu-25/briefings/schedule/index.html#make-agent-defeat-agent-automatic-detection-of-taint-style-vulnerabilities-in-llm-based-agents-48117

7. Unsafe Code Detection Benchmark: Stress-Testing SAST And LLMs On Modern Web Backends

   https://blackhat.com/eu-25/briefings/schedule/index.html#unsafe-code-detection-benchmark-stress-testing-sast-and-llms-on-modern-web-backends-49293

-End-

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全极客 《【深度复盘】Black Hat Europe 2025：AI 安全攻防的新战场—从基础设施到Agent生态》