文章总结： 文档披露PaperclipAI代理平台存在三个高危漏洞：操作系统命令注入漏洞（CVSS9.8）允许通过cleanupCommand字段执行任意shell命令；跨租户完全妥协漏洞（CVSS10）使攻击者可冒充其他公司代理并操作其数据；跨租户信息泄露漏洞（CVSS10）暴露所有代理敏感元数据。建议立即升级至v2026.416.0版本、清理输入字段并改用execFile()方法防御注入。 综合评分： 87 文章分类： 漏洞分析,威胁情报,安全建设,应用安全,云安全

CVSS 9.8 级缺陷——将你的 AI 代理拱手让给公众

sec随谈 sec随谈

sec随谈

2026年4月21日 08:55 北京

在小说阅读器读本章

去阅读

在人工智能驱动型商业快速发展的领域，Paperclip凭借其基于Node.js和React的简洁编排工具脱颖而出，旨在管理自主代理团队。然而，一份新的技术报告揭示，这个原本旨在帮助用户“运营业务”的平台，可能无意中将业务的控制权拱手让给了任何能够连接互联网的人。

安全研究人员发现了三个截然不同且破坏性极大的漏洞，这些漏洞可能导致整个系统被完全接管，并造成不同组织间的大规模数据泄露。

操作系统命令注入（CVSS 9.8）

最严重的漏洞在于Paperclip处理“执行工作区”的核心机制。这个严重漏洞允许攻击者直接向系统中注入任意shell命令。

问题出在 cleanupCommand 字段上。当工作区被归档时，服务器会使用 child_process.spawn(shell, [“-c”, cleanupCommand]) 直接执行此命令，而没有任何输入验证或清理。在桌面安装的默认 local_trusted 模式下，这种攻击无需任何身份验证。

研究人员通过三个独立的漏洞利用案例证明了这一漏洞的严重性：

• 向本地磁盘写入任意文件。
• 完全系统信息泄露（利用 systeminfo）。
• GUI应用程序启动（经典的“calc.exe”演示）。

完全跨租户妥协（CVSS 10）

第二个漏洞打破了使用同一 Paperclip 实例的不同公司之间的界限。由于范围检查失败，任何在“公司 A”中获得董事会认证的用户都可以有效地冒充“公司 B”中的代理。

攻击者只需在 URL 路径中提供受害代理的 UUID，即可列出、创建甚至撤销完全独立租户中任何代理的 API 密钥。报告警告称，这使得攻击者能够“在同一实例中的任何其他公司内生成代理 API 密钥，然后冒充该代理执行工作流并读取数据”。

跨租户房源信息泄露（CVSS 10）

前两个漏洞针对的是控制方面，而第三个漏洞则侧重于情报方面。信息泄露漏洞允许任何用户访问平台上所有注册代理的敏感元数据，无论这些代理属于哪家公司。

此次“房源泄露”揭露了：

• 代理人的内部ID和姓名。
• 活动遥测数据，例如 lastUsedAt 和 revokedAt 时间戳。

由于这些 UUID 经常通过例行活动流和心跳泄露，攻击者可以很容易地获取发起上述跨租户密钥铸造攻击所需的“受害者代理 UUID”。

补救措施

这些漏洞影响 Paperclip 的所有版本，最晚版本为 2026.410.0-canary.1。为确保您的 AI 驱动操作安全，必须采取以下措施：

• 立即更新：过渡到v2026.416.0或更高版本。
• 对输入进行清理：强烈建议开发人员拒绝或清理 cleanupCommand 和 teardownCommand 字段。
• 切换执行方法：该报告建议将 spawn(shell, [“-c”, command]) 替换为 execFile()，以防止基于 shell 的注入。

参考链接：

https://github.com/paperclipai/paperclip/releases/tag/v2026.416.0

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《CVSS 9.8 级缺陷——将你的 AI 代理拱手让给公众》