文章总结： MS-Agent轻量级AI框架曝出严重漏洞CVE-2026-2256，攻击者可利用提示词注入绕过黑名单过滤器，通过Shell工具执行系统命令。该漏洞允许攻击者窃取数据、植入后门甚至横向移动。目前厂商未发布补丁，建议用户采取隔离运行环境、最小权限配置、审查外部输入及改用白名单机制等紧急措施进行防护。 综合评分： 79 文章分类： 漏洞预警,AI安全,漏洞分析

攻击者可删除文件、植入后门：MS-Agent漏洞曝出完整利用链

看雪学苑 看雪学苑

看雪学苑

2026年3月6日 18:08 上海

研究人员最新发现，一个名为MS-Agent的轻量级AI框架存在严重漏洞，可能让攻击者通过简单的“提示词注入”接管整个系统。

MS-Agent框架设计了一个实用功能——“Shell工具”，允许AI直接调用操作系统命令来完成用户请求。这本意是提升AI的自主能力，却意外打开了潘多拉魔盒。

研究发现，当AI处理外部输入时，这个工具并未对内容进行有效过滤。攻击者可以将恶意指令伪装成普通文本，例如在一份待总结的文档中嵌入隐藏命令。当AI读取这些内容时，会不加区分地将恶意指令传递给Shell工具执行。

更令人担忧的是，虽然框架内置了一个名为check_safe()的过滤器，但它仅依靠简单的“黑名单”机制——列出禁止使用的命令词。这种防护形同虚设，攻击者只需使用替代语法或命令混淆技术，就能轻松绕过检测。

成功利用此漏洞的攻击者，将获得与MS-Agent进程相同的系统权限。这意味着他们可以：

• 窃取AI可访问的所有敏感数据

• 修改或删除关键系统文件

• 植入后门程序，建立持久化控制

• 以此为跳板，侵入企业内网其他资产

该漏洞已被分配编号CVE-2026-2256。截至目前，相关厂商尚未发布安全补丁或官方回应。在等待修复期间，安全专家建议采取以下紧急防护措施：

• 隔离运行环境：将MS-Agent部署在高度隔离的沙箱中，限制攻击影响范围

• 最小权限原则：仅赋予AI完成任务的必要权限，避免使用高权限账户

• 外部输入审查*：确保AI处理的所有外部内容都来自可信来源

• 强化命令过滤：放弃脆弱的黑名单机制，改用白名单模式，只允许执行预先批准的特定命令

资讯来源：本文基于CERT/CC发布的安全漏洞通告编译整理

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《攻击者可删除文件、植入后门：MS-Agent漏洞曝出完整利用链》