文章总结： 文档分析Marimo零日漏洞CVE-2026-39987的实战案例，攻击者通过未认证WebSocket终端获得完整Shell权限，并利用HuggingFace平台分发NKAbuse恶意软件。关键发现包括四种后利用模式及NKN协议C2通信的隐蔽性，揭示AI工具链安全债务问题。防御建议涵盖升级补丁、凭证轮换、网络隔离及行为检测等措施。 综合评分： 85 文章分类： 漏洞分析,恶意软件,AI安全,威胁情报,应急响应

AI安全案例分析 | Marimo 零日漏洞与Hugging Face平台滥用（文末附邀请码）

原创

天元实验室 天元实验室

M01N Team

2026年4月23日 18:00 北京

在小说阅读器读本章

去阅读

01 事件背景：谁在使用 Marimo？

Jupyter Notebook 主导数据科学生态多年之后，Marimo 作为一个现代化的响应式 Python notebook 框架悄然崛起，其响应式执行模型、内置 Web UI 能力和更简洁的依赖管理受到了 AI/ML 开发者群体的青睐。这也是这次攻击事件的关键背景——攻击者并非随机选择目标，而是精准瞄准了 AI/ML 开发者的工具链。

与通用服务器不同，数据科学开发者的工作站是一座“凭证金矿”：云厂商 Access Key（AWS、GCP、Azure）、数据库连接字符串、OpenAI / Anthropic API Token、SSH 私钥，以及直接通往内网数据管道的网络权限。一台被植入后门的 AI 开发者工作站，其价值远超普通业务服务器。

02 漏洞解剖

CVE-2026-39987 的成因异常简单，简单到令人警觉。Marimo 提供了一个基于 WebSocket 的终端功能（路径 /terminal/ws），用于在 notebook 界面内嵌入交互式 Shell。问题在于该端点完全跳过了认证验证，而其他端点（如 /ws）均正确调用了 validate_auth()。

任何能访问 Marimo 服务端口的未认证攻击者，只需建立一个 WebSocket 连接，即可获得完整的 PTY Shell——等同于直接拿到 SSH 登录权限，且无需任何凭证。

安全设计教训

中间件（Middleware）级别的鉴权无法替代端点级别的显式验证。每个高风险端点都必须独立调用认证逻辑，不能依赖【其他地方应该已经处理了】的假设。WebSocket 端点尤其容易因此类遗漏而产生绕过。

03 攻击时间线

04 攻击链全景与四种后利用模式

Sysdig 研究团队在监控期间识别出四种独立的后利用模式，体现了不同技术水平和目的的攻击者并发在野利用：

模式一：凭证收割者（高价值目标）

最具破坏性的操作来自德国 IP 攻击者（195 次事件，持续超过 3 小时）。该攻击者系统性地转储环境变量，成功提取 AWS Access Key、数据库连接字符串，甚至 OpenAI API Token。单一 Marimo 实例的沦陷直接打通了受害者整个云基础设施入口。

模式二：反弹 Shell 系列测试

同一德国 IP 尝试了 15 种不同的反弹 Shell 技术（涵盖多种协议与端口），随后利用从环境变量中泄露的 DATABASE_URL 直接连接 PostgreSQL 实例，枚举 schema、数据表与配置信息。

模式三：Redis 数据库清洗

香港 IP 攻击者利用从 Marimo 的 .env 文件中盗取的凭证针对 Redis 服务器展开攻击，系统性地遍历全部 16 个逻辑数据库，转储了包含 Session Token 和应用缓存在内的大量数据。

模式四：NKAbuse 恶意软件部署（最高威胁）

来自 IP 38.147.173[.]172 的攻击者通过 curl 执行 Hugging Face Space 上的 Shell 脚本，部署了本次事件的核心恶意载荷：

05 NKAbuse 2026 变种

NKAbuse 最初由卡巴斯基于 2023 年 12 月记录，是一种利用 NKN（New Kind of Network）协议实现 C2 通信的 Go 语言后门。NKN 是基于区块链的去中心化网络协议，节点分散在全球，无单一 IP 或域名可屏蔽，C2 流量混入正常区块链活动，对传统检测体系近乎隐形。

🔗 NKN 协议为何难以检测

NKN 使用去中心化中继节点网络进行通信，无固定 IP 或域名，其流量特征与正常区块链活动高度相似。传统防火墙规则、IP 黑名单和域名阻断对其近乎失效。攻击者选择 NKN 作为 C2 基础设施的核心原因正是其抗审查、高弹性的设计特性。

06 平台滥用的新范式

这次攻击中最值得关注的战术创新，不是漏洞本身，而是将受信任的 AI 平台转化为恶意软件分发节点。攻击者创建的 Space 命名为 vsccode-modetx——针对【vscode】的拼写仿冒。在 Sysdig 分析时，该恶意 Space 在 16 个声誉评分来源中均获得 0 分（无威胁标记）。

07 攻击者为何专门针对 AI/ML 开发者？

AI/ML 开发者的工作站是凭证密度最高的终端之一：他们通常同时持有多个云账号的高权限 IAM Key（用于调用推理 API、存储模型权重）、连接生产数据库的 URL（用于训练数据读取）、GitHub/GitLab Token（可访问代码仓库和 CI/CD 管道），以及 OpenAI、Anthropic 等 AI 服务的付费 API Token（可被直接变现或用于后续攻击）。

更关键的是，Marimo 等 notebook 工具天然地被设计成【便于快速实验】，这意味着开发者往往会在环境变量中直接写入凭证，而非通过 Vault 或 Secret Manager 等安全方式管理——这在生产部署中是高危反模式，但在数据科学工作流中却异常普遍。

🔴 高风险场景识别

如果你的 Marimo 实例运行在以下任意场景，且版本低于 0.23.0，请视为已被入侵处理：

• 公网可访问的服务器
• 云端 Notebook 服务（如 JupyterHub 部署）
• 企业内网开发环境（无额外访问控制）

立即执行应急响应，不要等待变更审批窗口。

08 防御侧行动清单

• 升级 Marimo 至 0.23.0+ — 立即升级
• 威胁猎杀 — 在所有曾运行 Marimo 的主机上搜索 ~/.kagent/ 目录、kagent.service systemd 服务项、正在运行的 kagent 进程。发现任何一项，立即隔离主机。
• DNS / 代理层封锁 — 在 DNS 和代理层面屏蔽 vsccode-modetx.hf.space，阻断已知载荷投递 URL。
• 凭证轮换 — 对所有暴露过 Marimo 实例的环境，强制轮换 DATABASE_URL、AWS/GCP Key、OpenAI/Anthropic API Token 等高价值凭证。
• 网络访问控制 — Marimo 及类似 notebook 服务严禁直接暴露至公网，强制通过 VPN、堡垒机或带认证的反向代理访问，监听地址从 0.0.0.0 收紧至 127.0.0.1。
• AI 平台依赖审计 — 建立对 Hugging Face Spaces 等 AI 资产平台的访问白名单策略，限制生产环境从非验证来源拉取脚本或二进制文件。
• 运行时行为检测 — 部署基于行为的运行时检测（如 Falco、Sysdig Agent），针对 notebook 进程产生的非预期子进程、外联连接、文件创建行为设置告警规则。签名检测对此类新变种无效。

AISS安全智链社区已收录本案例，感兴趣的读者可前往 https://aiss.nsfocus.com/#/ai-cases 查看更多 AI 安全相关案例分析与最新研究。

09 结语：AI 基础设施安全债

这次攻击事件揭示的不只是一个 WebSocket 的鉴权遗漏，而是 AI/ML 工具链在快速发展过程中积累的安全债务。Jupyter、Marimo、Streamlit、Gradio 这类以【易用】为核心卖点的开发工具，往往在设计之初更优先考虑开发者体验，而安全边界的设置则相对粗放。

当这类工具从本地开发环境走向云端协作平台，当 Hugging Face 从模型分享社区成长为 AI 生态的核心基础设施，当数据科学家的工作站成为持有云端高权限凭证的关键节点——传统的安全假设已经失效，新的威胁模型需要重新构建。威胁行为者已经完成了对 AI/ML 工具链的定向研究和武器化。防御侧的同步跟进，是现在最紧迫的议题。

原文报告链接：https://www.bleepingcomputer.com/news/security/hackers-exploit-marimo-flaw-to-deploy-nkabuse-malware-from-hugging-face/

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括：漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术，以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究，以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术，从攻击视角提供识别风险的方法和手段，为威胁对抗提供决策支撑。

附录：文末福利｜社区邀请码限量赠送

本次我们准备了 10 个 AISS 社区邀请码。获取方式： 转发本文 + 点赞 + 评论区留言「申请邀请码」我们将从评论区中抽取 10 位朋友，私信发送邀请码。AISS 是专注 AI 安全的开放社区，涵盖大模型安全风险矩阵、知识库、案例库，欢迎 AI 安全研究者、开发者与企业安全团队加入共建。

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：M01N Team 天元实验室 天元实验室《AI安全案例分析 | Marimo 零日漏洞与Hugging Face平台滥用（文末附邀请码）》