AICodingAgent最新攻击总结:7大漏洞利用手法

admin
admin
admin
0
文章
0
评论
2026-03-27 14:12:11 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文总结AICodingAgent(如ClaudeCode、Cursor)因权限过大、指令来源复杂、语义难以区隔存在高风险,归纳7大攻击手法(PromptInjection、自动加载攻击等),并给出流程管控、最小权限等防护建议,强调需纳入供应链安全管理 综合评分: 85 文章分类: AI安全,漏洞分析,应用安全

cover_image

AI Coding Agent最新攻击总结:7大漏洞利用手法

原创

微步情报局 微步情报局

微步在线研究响应中心

2026年3月24日 16:32 北京

与OpenClaw这类通用AI智能体不同,Claude Code、Cursor等AI Coding Agent(AI编程智能体)在企业内使用频次更高、停留时间更长,且深度嵌入开发流程、持有最高权限——一旦沦陷,源代码、API密钥乃至整个基础设施都将可能被全面接管,潜在风险更大。

本文基于微步情报局捕获的大量真实漏洞与攻击案例,系统梳理了AI Coding Agent的主要攻击向量、典型漏洞利用手法及主流安全产品现状,希望能为研发与安全团队提供一份有价值的风险预防指引。

AI Coding Agent风险本质

Claude Code、Cursor等这类典型AI Coding Agent的数据流,大致如下:

其关键风险点在于:

  • 权限过大。Agent通常以用户身份运行,拥有几乎完整的本地文件系统与命令执行权限。
  • 指令来源复杂。除用户直接输入外,还包括README、代码注释、npm/yarn包描述、.git/config、插件配置、MCP服务器返回等多个不可信来源。
  • 语义难以区隔。LLM很难可靠区分“用户真实意图”与“恶意注入指令”,导致间接Prompt Injection成为最普遍、最难防御的攻击手段。

而攻击者只需在项目中植入少量恶意内容(如隐藏在注释中的指令),即可诱导智能体执行任意操作(比如,可能让智能体心甘情愿地把你的SSH密钥发到外部服务器),而智能体全程都认为自己在”帮用户完成任务”。

需要明确的是,AI Coding Agent已不再是辅助工具,而是开发者环境中权限最高的“内部进程”。其安全风险根源在于过度授权与指令边界模糊。因此,防护焦点必须从单一工具前移至AI Coding Agent的全生命周期治理。

AI Coding Agent漏洞利用手法

经过深入分析漏洞情报及攻击事件,微步情报局将AI Coding Agent攻击手法归纳为以下七类:

01

Prompt Injection攻击

攻击者通过README、代码注释、@Docs引用、Terminal输入通道等位置植入精心构造的恶意指令,诱导智能体执行未经授权的系统命令或文件操作。

典型案例:

02

自动加载与信任前执行攻击

攻击者利用项目初始化或依赖安装过程中自动加载的配置文件(如 .yarnrc.yml、.cursor/mcp.json、git配置模板等),在用户尚未明确确认或知情的情况下触发远程代码执行。

典型案例:

03

文件系统边界绕过攻击

通过符号链接(symlink)、Windows路径解析特性(反斜杠、NTFS备用数据流)、工作目录切换等技术手段,绕过智能体内置的路径限制规则,实现对项目目录以外敏感文件或系统的读取、修改。

典型案例:

04

命令解析与校验逻辑绕过攻击

利用shell解析规则与智能体命令白名单/审批逻辑之间的语义差异(如$IFS分割、ZSH特有重定向语法、命令替换、环境变量污染等),绕过预设的安全检查机制执行高危命令。

典型案例:

05

扩展机制与第三方控制通道攻击

针对 MCP(Model Control Protocol)、插件系统、deep-link、本地服务接口等扩展机制进行配置篡改、OAuth滥用或域名欺骗,实现持久化控制或权限提升。

典型案例:

06

本地接口暴露与跨域攻击

智能体或IDE扩展暴露的WebSocket、HTTP接口缺乏足够的源验证或CORS保护,导致恶意网站通过XSS、SSRF、CSRF等方式直接调用本地API,执行命令或窃取文件。

典型案例:

07

关键配置文件投毒与持久化控制

通过修改或注入settings.json、.git/hooks/、.yarnrc.yml、.cursorignore、

.code-workspace 等关键配置文件,实现智能体行为篡改、沙箱逃逸或持久化控制。

典型案例:

AI Coding Agent防护

目前企业仍处于功能优先、安全补救的阶段,多数产品对Prompt Injection、配置投毒、边界绕过的防御仍不充分。建议将AI编程智能体安全纳入企业供应链安全管理体系,与依赖扫描、容器化、访问控制等措施统筹推进。

从漏洞利用手法来看,短期内严格的流程管控与最小权限原则仍是最高效的现实防护手段,可采取的措施有:

  • 强制使用最新版本,关闭Auto-Run 与Auto-Apply功能。
  • 以容器或低权限账户隔离运行,限制对主系统访问。
  • 克隆外部仓库前强制人工审查,禁用 .yarnrc.yml、.cursor/ 目录、git hooks 等自动加载。
  • MCP与插件仅限白名单,定期审计已批准配置。
  • 监控对私钥、token、settings.json 等敏感文件的写操作。
  • 所有shell执行必须人工确认,启用最严格白名单。
  • 网络层面仅允许官方 API 域名访问。
  • 建立“不可信项目隔离使用”流程,并对团队进行针对性培训。

附:部分AI Coding Agent漏洞清单

Claude Code

共21个漏洞,其中20个有CVE编号,1个仅有GHSA编号。

| | | | | | | | | | — | — | — | — | — | — | — | — | | 序号 | GHSA | CVE | XVE | 公告 时间 | 官方 定级 | GitHub影响版本 | 修复版本 | | 1 | GHSA-66q4-vfjg-2qhh | CVE-2026-25722 | XVE-2026-2727 | 2026-02-06 | High | < v2.0.57 | v2.0.57 | | 2 | GHSA-mhg7-666j-cqg4 | CVE-2026-25723 | XVE-2026-2728 | 2026-02-06 | High | <   v2.0.55 | v2.0.55 | | 3 | GHSA-ff64-7w26-62rf | CVE-2026-25725 | XVE-2026-2730 | 2026-02-06 | High | < v2.1.2 | v2.1.2 | | 4 | GHSA-4q92-rfm6-2cqx | CVE-2026-25724 | XVE-2026-2729 | 2026-02-06 | Low | <   v2.1.7 | v2.1.7 | | 5 | GHSA-qgqw-h4xq-7w8w | CVE-2026-24887 | XVE-2026-2325 | 2026-02-03 | High | < v2.0.72 | v2.0.72 | | 6 | GHSA-q728-gf8j-w49r | CVE-2026-24053 | XVE-2026-2340 | 2026-02-03 | High | <   v2.0.74 | v2.0.74 | | 7 | GHSA-vhw5-3g5m-8ggf | CVE-2026-24052 | XVE-2026-2341 | 2026-02-03 | High | < v1.0.111 | v1.0.111 | | 8 | GHSA-jh7p-qr78-84p7 | CVE-2026-21852 | XVE-2026-1180 | 2026-01-20 | Medium | <   v2.0.65 | v2.0.65 | | 9 | GHSA-xq4m-mc3c-vvg3 | CVE-2025-66032 | XVE-2025-42681 | 2025-12-03 | High | 0.2.116 < 1.0.24 | 1.0.24+ |

| | |

Cursor

共 28 个漏洞,其中25个有CVE编号,3个仅有GHSA编号。

| | | | | | | | | | — | — | — | — | — | — | — | — | | GHSA | CVE | XVE | 产品(为空的是cursor) | 公告时间 | 官方定级 | GitHub影响版本 | 修复 版本 | | GHSA-8pcm-8jpx-hv8r | CVE-2026-26268 | XVE-2026-3480 | Cursor | 2026-02-13 | High | <2.5 | 2.5 | | GHSA-2jr2-8wf5-v6pf | CVE-2025-64107 | XVE-2025-39894 | Cursor | 2025-11-03 | High | 1.7.52 | 2.0 | | GHSA-4575-fh42-7848 | CVE-2025-64106 | XVE-2025-39893 | Cursor | 2025-11-03 | High | 1.7.28 | 2.0 | | GHSA-6r98-6qcw-rxrw | CVE-2025-64108 | XVE-2025-39890 | Cursor | 2025-11-03 | High | 1.7.44 | 2.0 | | GHSA-vhc2-fjv4-wqch | CVE-2025-64110 | XVE-2025-39888 | Cursor | 2025-11-03 | High | 1.7.23 | 2.0 | | GHSA-x2vq-h6v6-jhc6 | CVE-2025-61593 | XVE-2025-36148 | Cursor   CLI | 2025-10-02 | High | <   2025.09.12-4852336 | 2025.09.17-25b418f | | GHSA-xcwh-rrwj-gxc7 | CVE-2025-59944 | XVE-2025-36161 | Cursor | 2025-10-02 | High | < 1.6.23 | 1.7 | | GHSA-wj33-264c-j9cq | CVE-2025-61591 | XVE-2025-36117 | Cursor   CLI | 2025-10-02 | High | <   2025.09.17-25b418f | 2025.09.17-25b418f | | GHSA-hf2x-r83r-qw5q | CVE-2026-31854 | XVE-2026-7126 | Cursor | 2026-03-09 | High | <2.0 | 2.0 | | GHSA-v64q-396f-7m79 | CVE-2025-61592 | XVE-2025-36115 | Cursor   CLI | 2025-10-02 | High | <   2025.09.17-25b418f | 2025.09.17-25b418f | | GHSA-4hwr-97q3-37w2 | CVE-2025-64109 | XVE-2025-39889 | Cursor CLI | 2025-11-03 | High | < 2025.09.17-25b418f | 2025.09.17-25b418f | | GHSA-82wg-qcm4-fp2w | CVE-2026-22708 | XVE-2026-0670 | Cursor | 2026-01-14 | High | <=   2.2 | 2.3 | | GHSA-xg6w-rmh5-r77r | CVE-2025-61590 | XVE-2025-36118 | Cursor | 2025-10-02 | High | < 1.7 | 1.7 | | GHSA-xw2x-252g-97w2 | CVE-2025-61589 | XVE-2025-36081 | Cursor | 2025-10-02 | Medium | <=1.6 | 1.7 | | GHSA-24mc-g4xr-4395 | CVE-2025-54136 | XVE-2025-29347 | Cursor | 2025-08-01 | High | < 1.2.4 | 1.3 | | GHSA-4cxx-hrm3-49rm | CVE-2025-54135 | XVE-2025-29425 | Cursor | 2025-08-02 | High | <=   1.2.1 | 1.3.9 | | GHSA-r22h-5wp2-2wfv | CVE-2025-54133 | XVE-2025-29346 | Cursor | 2025-08-01 | Medium | 1.17 | 1.3 | | GHSA-43wj-mwcc-x93p | CVE-2025-54132 | XVE-2025-29349 | Cursor | 2025-08-01 | Medium | <1.3 | 1.3 | | GHSA-534m-3w6r-8pqr | CVE-2025-54131 | XVE-2025-29348 | Cursor | 2025-08-01 | Medium | <1.3 | 1.3 | | GHSA-c43p-6fv2-6gr2 | N/A | XVE-2025-29506 | Cursor   API | 2025-06-19 | Medium | <   2025-06-17 | 2025-06-17 | | GHSA-rjmc-526x-8653 | N/A | XVE-2025-29505 | Cursor API | 2025-06-19 | Medium | < 2025-06-17 | 2025-06-17 | | GHSA-9h3v-h59j-v6rj | CVE-2025-49150 | XVE-2025-23218 | Cursor | 2025-06-11 | Medium | <0.51.0 | 0.51.0 | | GHSA-vqv7-vq92-x87f | CVE-2025-54130 | XVE-2025-29500 | Cursor | 2025-08-02 | High | <1.3 | 1.3.9 | | GHSA-qjh8-mh96-fc86 | CVE-2025-32018 | XVE-2025-12996 | Cursor | 2025-04-07 | High | 0.45.0-0.48.6 | 0.48.7+ | | GHSA-g4ff-54cv-h6f9 | N/A | XVE-2024-42959 | Cursor API | 2024-11-27 | Low | < 2025-11-27 | Nov 27+ | | GHSA-rmj9-23rg-gr67 | CVE-2024-48919 | XVE-2024-30588 | Cursor | 2024-10-22 | High | <=   0.41.0 | 0.42 | | GHSA-x352-xv29-r74m | CVE-2024-45599 | XVE-2024-28100 | Cursor | 2024-09-24 | Low | < 0.41.0 | 0.41.0 |

OpenCode

| | | | | | | | | | — | — | — | — | — | — | — | — | | GHSA | CVE | XVE | 产品 | 公告 时间 | 官方 定级 | 影响 版本 | 修复 版本 | | GHSA-c83v-7274-4vgp | CVE-2026-22813 | XVE-2026-0429 | Opencode | 2026-01-12 | Critical | <1.1.10 | 1.1.10 | | GHSA-vxw4-wv6m-9hhh | CVE-2026-22812 | XVE-2026-0428 | Opencode | 2026-01-12 | High | < 1.0.216 | 1.0.216 |

Codex CLI

| | | | | | | | | | — | — | — | — | — | — | — | — | | GHSA | CVE | XVE | 产品 | 公告时间 | 官方定级 | 影响版本 | 修复版本 | | N/A | CVE-2025-55345 | XVE-2025-30413 | Codex CLI | 2025-08-13 | Medium | <0.12.0 | 0.12.0 | | GHSA-w5fx-fh39-j5rw | CVE-2025-59532 | XVE-2025-34922 | Codex   CLI | 2025-07-24 | High | 0.2.0-0.38.0 | 0.39.0 | | N/A | CVE-2025-54558 | XVE-2025-28425 | Codex CLI | 2026-01-12 | Low | <0.9.0 | 0.9.0 |

以上漏洞完整内容均可通过微步漏洞情报查询。

欢迎扫码联系

↓↓↓

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:微步在线研究响应中心 微步情报局 微步情报局《AI Coding Agent最新攻击总结:7大漏洞利用手法》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0