AgentSecurity沙箱可持久化深度报告

admin
admin
admin
0
文章
0
评论
2026-06-08 04:22:48 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 该报告由ChaMd5安全团队主导,针对大模型Agent沙箱环境进行安全测试,核心发现提示词注入可能引发沙箱持久化、跨会话污染及数据外泄风险。测试涵盖四个维度:持久化植入、隔离边界探测、隐蔽隧道通信和会话权限污染,验证了自然语言诱导RCE的可行性。报告已提交相关厂商SRC并附可下载的详细PDF。 综合评分: 85 文章分类: 渗透测试,漏洞分析,安全建设,解决方案,安全运营

cover_image

Agent Security 沙箱可持久化深度报告

原创

ChaMD5 AI Group ChaMD5 AI Group

ChaMd5安全团队

2026年4月14日 08:03 辽宁

在小说阅读器读本章

去阅读

招新小广告CTF组诚招web、re、crypto、pwn、misc、合约方向的师傅,长期招新IOT+Car+工控+样本分析多个组招人有意向的师傅请联系邮箱 [email protected](带上简历和想加入的小组)

近日由 ChaMd5 AI 安全团队 L 师傅主导,Q 师傅和 B 师傅协助,对各互联网产想 Agent 详细的安全测试结果。在负责任披露的前提下,相关安全测试结果已经提交到对应厂商的 SRC 并获取反馈。

背景

大模型 Agent 深度应用下的沙箱安全边界探索

现状:从“对话框”到“自动化执行器”的演变

当前,主流大模型厂商(如 OpenAI、Google、Anthropic 等)推出的 Agent 应用已不仅局限于文本生成,而是演变为具备复杂任务编排能力的集成式工作流。通过网页端,Agent 能够根据用户的复杂指令,动态地调用代码解释器(Code Interpreter)。 为了确保安全,这些代码通常运行在高度隔离的沙箱环境(Sandbox)中。这种机制极大地增强了模型处理结构化数据、生成图表以及执行复杂逻辑交付的能力,使用户任务的完成度从“建议”层面提升到了“工程”层面。

核心风险点:提示词注入引发的“自然语言 RCE”

然而,随着功能复杂度的提升,安全边界也随之变得模糊。最核心的隐患在于:提示词注入(Prompt Injection)是否能够转化为针对沙箱环境的实质性控制? 在传统网络安全中,远程代码执行(RCE)通过漏洞触发;而在 Agent 场景下,攻击者可能通过精心构造的网页提示词或引诱 Agent 加载恶意外部插件/网页,以“自然语言”的形式诱导模型在沙箱内执行具有持久化意图的恶意代码。

深度隐患:沙箱持久化与跨域复用

如果沙箱的设计存在缺陷,攻击者可能尝试以下进阶攻击路径:

  • 沙箱持久化 (Sandbox Persistence): 探索是否可以通过特定的脚本注入,在沙箱文件系统或进程空间内实现驻留,规避任务结束后的销毁机制。
  • 跨账户/跨任务复用 (Cross-Session/Account Reuse): 验证是否存在一种方式,使得在任务A 中构造的恶意环境或敏感配置,能够通过某种隐蔽通道或缓存机制,“污染”到任务 B 甚至其他用户的会话环境中。
  • 越狱与公网外泄:测试沙箱是否可以通过复杂的协议隧道(如利用DNS请求、特定API 调用等)绕过出口限制,实现与攻击者控制端 (C2) 的公网通信,从而外泄沙箱内的敏感上下文数据。

核心测试维度

为了验证前述关于沙箱持久化及跨账户复用的猜想,我们构建了四个测试模块。

维度 A: 提示词诱导下的持久化植入

测试是否能通过特定指令,使Agent在沙箱文件系统中留下“逻辑后门”(如修改.bashrc 或植入定时任务),从而在用户开启新会话时自动激活恶意逻辑。

维度B: 沙箱隔离性边界探测(侧向移动)

利用内存溢出或文件系统漏洞,尝试探测同一宿主机下不同用户沙箱的残留信息,验证是否存在跨租户的数据泄露风险。

维度C: 外发通信与隐蔽隧道

在严格受限的网络环境下,尝试利用DNS重定向、HTTP Header走私等手段,测试沙箱内敏感数据(如环境变量、 API Key) 回传至外部控制端(C2)的可能性。

维度 D: 水平越权与会话污染

验证 Agent 在多任务切换过程中,是否会错误地将上一个任务的权限或上下文携带至下一个不相关的任务中,导致权限边界崩溃。

为了验证前述关于沙箱持久化及跨账户复用的猜想,测试小组构建了四个测试模块,并进行了深度安全测试。 详细报告下载请见下面pdf 下载链接。

通过网盘分享的文件:Agent Security 沙箱可持久化深度报告-2026-04-13-ChaMD5 AI Group.pdf

链接: https://pan.baidu.com/s/147cCgSpNbl4WNTnj72lf9w?pwd=3itf 提取码: 3itf

结束

招新小广告

ChaMd5 Venom 招收大佬入圈

新成立组IOT+工控+样本分析 长期招新

欢迎联系[email protected]

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:ChaMd5安全团队 ChaMD5 AI Group ChaMD5 AI Group《Agent Security 沙箱可持久化深度报告》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0