2026-05-20 05:11:24 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档精选AI安全领域10个真实案例，揭示供应链攻击、身份安全、提示注入和协议漏洞四大趋势。关键发现包括AI生成恶意代码使检测失效、Agent成为新攻击入口、身份权限风险突出、间接提示注入规模化。可操作建议强调重构供应链审查逻辑、强化Agent权限隔离、提升漏洞响应优先级。 综合评分： 90 文章分类： AI安全,应用安全,供应链安全,身份安全,漏洞预警

cover_image

AISS社区｜Top5安全事件与技术案例解析

原创

天元实验室天元实验室

M01N Team

2026年5月12日 18:00 北京

在小说阅读器读本章

去阅读

概述

本期从AISS案例库250+个入库案例中，精选近期最具代表性的10个事件与技术案例，覆盖供应链攻击、身份安全、提示注入、协议漏洞四个核心方向。所选案例均来自在野发生或公开披露的真实事件，涵盖国内外主流AI平台、开源框架及企业部署场景，附有风险矩阵映射与阶段标注，便于快速定位威胁所在的攻击面与防御优先级。

01 本期趋势

AI供应链攻击升级：攻击者开始用AI生成高质量恶意代码，使恶意包与正常开源项目几乎无法区分，传统检测体系正在失效。
Agent成为新攻击入口：攻击目标正从应用本身转向Agent执行链，通过工具调用和流程控制实现系统级入侵。
身份与权限成为核心风险：Shadow AI与Agent角色越权频发，说明AI系统正在被“身份层”而不是“代码层”突破。
上下文污染取代传统提示注入：攻击已从单点提示注入，演化为通过网页、数据源持续污染Agent决策过程。
AI基础设施漏洞在野化加速：MCP、AI中间件和Agent SDK漏洞在披露后极短时间内即被利用，补丁窗口正在收缩。

02 与社区风险矩阵映射

应用安全（4）· 供应链攻击 / 提示注入 / 在野利用 / Agent安全
身份安全（2）· 特权升级 / AI身份冒用
模型安全（1）· MCP协议架构漏洞

完整威胁分类，可在社区主页查看。

AISS大模型安全智链社区案例库

03 安全事件 TOP 5

朝鲜黑客利用AI编写恶意npm包渗透Claude供应链

【应用阶段】

朝鲜APT组织Famous Chollima利用生成式AI编写恶意npm包，代码规范、注释完整，与正常开源包几乎无法区分。通过两层依赖结构潜入项目，Claude Opus在协助提交代码时将其引入，导致敏感凭证外泄。ReversingLabs追踪该行动长达7个月，累计发现60余个恶意包、300余个版本，活动至今未停止。

AI生成恶意代码已突破现有静态检测体系的识别边界。当AI编写的代码质量本身成为伪装手段，基于规则的供应链审查逻辑需要从底层重构。

收录于AISS案例库 → 应用安全 · 供应链攻击 · #251

Shadow AI引发Vercel数据泄露事件

【应用阶段】

Vercel员工私自接入第三方AI工具Context.ai，未经安全审批。Context.ai遭Lumma Stealer攻破后，攻击者借助OAuth授权链横向渗透至Vercel内部环境，API密钥、数据库凭证等敏感数据外泄。

Shadow AI的风险不在于工具本身，而在于它绕过了企业现有的安全管控边界。一个员工的未授权接入，足以成为整条攻击链的起点。

收录于AISS案例库 → 应用安全 · 供应链攻击 · #254

Microsoft Entra ID AI代理角色权限越界漏洞

【应用阶段】

微软修复Entra ID中”Agent ID Administrator”角色的权限边界缺陷，该角色原本仅用于管理AI代理，但实际可被用于接管普通服务账户，实现跨资源特权升级。漏洞于2026年4月9日完成修复。

AI代理的身份权限体系尚不成熟，新角色在设计阶段往往缺乏足够的权限隔离验证。随着企业Agent部署规模扩大，身份安全将成为持续暴露的攻击面。

收录于AISS案例库 → 身份安全 · 特权升级 · #255

LiteLLM SQL注入漏洞披露36小时内遭在野利用

【部署阶段】

LiteLLM作为主流LLM API代理中间件，其SQL注入漏洞（CVE-2026-42208）在公开披露后仅不足48小时内即被攻击者利用，数据库数据遭到读取与篡改。攻击通过构造特制Authorization Header实现，影响范围覆盖所有依赖LiteLLM路由的AI中间件部署。

AI基础设施组件的漏洞响应窗口已极度压缩。对于核心中间件，漏洞披露即意味着暴露，补丁优先级需等同于生产事故处理。

收录于AISS案例库 → 应用安全 · 在野利用 · #250

AI数字人仿冒名人直播带货，当事人被行政拘留

【应用阶段】

山西网民未经授权，利用AI工具生成名人AI数字人形象及带货文案，在社交平台直播带货，借助名人效应引流牟利，造成恶劣社会影响，依法被行政拘留。

这是国内较早一批进入执法程序并有明确处罚结果的AI深度伪造案例。AI身份冒用的法律边界正在通过具体案例逐步清晰，合规风险已从模糊地带走向实质约束。

收录于AISS案例库 → 身份安全 · AI身份冒用 · #257

04 技术案例 TOP 5

Anthropic MCP SDK架构级RCE漏洞，逾20万实例暴露

【应用阶段】

OX Security披露Anthropic官方MCP SDK存在架构设计层面缺陷，Python、TypeScript、Java、Rust全语言实现均受影响。STDIO接口在执行命令时不校验进程是否成功启动，攻击者传入恶意命令即可触发任意代码执行。Cursor、VS Code、Claude Code、Gemini-CLI均受波及，Windsurf（CVE-2026-30615）为唯一零点击利用场景。暴露实例估计超20万，目前官方完整修复尚未发布。

该漏洞属于协议设计缺陷而非实现错误，意味着所有基于官方SDK构建的下游项目均继承了这一风险面，MCP生态的安全基线需要在协议层面重新设定。

收录于AISS案例库 → 模型安全 · MCP协议 · #274

Azure AI Foundry M365 Agent特权升级漏洞（CVE-2026-35435）

【应用阶段】

2026年5月7日披露，Azure AI Foundry中已发布的M365 Agent存在访问控制缺陷，攻击者可通过网络远程绕过权限限制，从低权限角色升级为对AI资源及M365环境具有广泛控制权的高权限身份。CVSS评分8.6，目前补丁尚未发布。

AI与企业生产力套件的深度集成，正在创造新的高价值攻击入口。Agent所继承的权限范围越广，被利用的爆炸半径就越大。

收录于AISS案例库 → 身份安全 · 特权升级 · #275

Google披露：间接提示注入攻击已进入规模化在野阶段

【应用阶段】

Google安全团队对CommonCrawl数十亿网页进行扫描，系统性分析了公开Web中的间接提示注入（IPI）攻击态势。攻击者将恶意指令隐藏在普通网页中，当AI Agent读取内容时被触发，从而诱导其执行违背用户意图的操作。2025年11月至2026年2月期间，Google扫描公开网络发现，恶意类IPI检测数量相对增长32%。

IPI攻击的规模化意味着，所有具备外部内容读取能力的AI Agent，都必须将输入视为潜在攻击载体。数据与指令边界的持续模糊，已成为当前Agent架构中最难解决的结构性安全问题。

收录于AISS案例库 → 应用安全 · 提示注入 · #256

Hermes Agent遭RCE攻击，首次观察到Agent自主防御行为

【应用阶段】

Hermes Agent的Twilio短信 webhook 端点未验证 X-Twilio-Signature 签名，攻击者可伪造短信触发任意命令执行（CVSS 9.8）。在玄武实验室测试中，多次攻击意外激活了Agent的自主复盘机制，使其在无预设防御规则的情况下，自动生成安全技能并更新记忆，从而完成防御响应。

这是目前已记录的AI Agent在攻击模拟场景中展现出自主防御行为的早期案例之一。除底层RCE漏洞之外，这也引出了一个更关键的问题：在无预设规则的情况下自主演化出的防御能力，其边界与可控性如何界定。

收录于AISS案例库 → 应用安全 · Agent安全 · #249

Microsoft Semantic Kernel框架RCE漏洞

【应用阶段】

微软安全研究团队在Semantic Kernel框架中披露两个严重漏洞CVE-2026-25592与CVE-2026-26030，已在发布前完成修复。漏洞可将提示注入升级为宿主级别的任意代码执行，攻击者无需浏览器漏洞、恶意附件或内存损坏技术，一条精心构造的提示词即可触发agent调用工具链并执行任意命令。

AI模型本身不是安全边界。当攻击者绕过模型层防护时，必须依赖传统端点检测来识别异常行为——例如AI agent进程突然生成命令行或向启动目录写入脚本。这一漏洞揭示了Agent框架层面的结构性风险：工具调用链路上的每个环节，都可能成为提示注入的落点。

收录于AISS案例库 → 应用安全 · Agent安全 · #273

以上案例已完整收录于 AISS 大模型安全智链社区。AISS 社区现已持续建设：

大模型安全知识库
AI安全案例库
类Claw威胁矩阵

同时将持续跟踪 AI安全前沿研究与真实攻击演化方向，围绕模型安全、AI Agent安全与治理、AI供应链等领域不断迭代更新。目前案例库已更新至 250+。

如果你在工作中发现、复现或研究过 AI 安全相关事件，欢迎向 AISS 案例库提交。内容包括真实攻击复盘、漏洞技术分析或企业安全实践均可收录。投递内容将经过社区审核后进入案例库，并在相关页面标注贡献者信息，用于社区共建与研究参考。

附录：文末福利｜社区邀请码限量赠送

AISS 案例库面向全社区开放，你的投递将直接帮助更多 AI 安全从业者建立对威胁态势的认知。

转发本文并在评论区留言你最关注的 AI 安全方向，我们将随机抽取 10 位送出 AISS 社区邀请码。邀请码可用于访问完整知识库内容。

AISS大模型智链社区访问地址：https://aiss.nsfocus.com/#/

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括：漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术，以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究，以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术，从攻击视角提供识别风险的方法和手段，为威胁对抗提供决策支撑。

文末福利｜社区邀请码限量赠送

本次我们准备了 10 个 AISS 社区邀请码。获取方式：转发本文 + 点赞 + 评论区留言「申请邀请码」我们将从评论区中抽取 10 位朋友，私信发送邀请码。AISS 是专注 AI 安全的开放社区，涵盖大模型安全风险矩阵、知识库、案例库与事件库，欢迎 AI 安全研究者、开发者与企业安全团队加入共建。

附录｜参考来源

[1] Google Security Blog. AI threats in the wild: The current state of prompt injections on the web. 2026年4月.

https://security.googleblog.com/2026/04/ai-threats-in-wild-current-state-of.html

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：M01N Team 天元实验室天元实验室《AISS社区｜Top5安全事件与技术案例解析》