文章总结: AINow研究院披露代号friendlyfire的新型攻击手段,攻击者通过开源代码供应链劫持ClaudeCode和Codex等AI代码代理工具,在用户执行安全审计时利用自动模式静默执行恶意脚本,获得远程代码执行权限。该攻击覆盖ClaudeSonnet4.6、Sonnet5、Opus4.8及GPT-5.5等模型,无需额外插件。研究团队建议在模型解决指令与数据信任边界问题前,不要为AI代理开放代码执行权限扫描不可信代码库。 综合评分: 86 文章分类: 供应链安全,漏洞分析,ai安全,红队,安全工具
安全审计反中招!Claude/GPT-5.5 AI代理遭供应链注入
看雪学苑 看雪学苑
看雪学苑
2026年7月9日 17:59 上海
在小说阅读器读本章
去阅读
如今不少安全从业者和开发者,都习惯把第三方代码库丢给AI,让它自动完成安全审计、漏洞排查。省时省力的同时,却很少有人意识到:这项本为加固安全而生的操作,反而可能成为恶意代码入侵的入口。
AI Now研究院最新披露了代号为Friendly Fire的新型攻击手段:攻击者可通过开源代码供应链,劫持Anthropic Claude Code与OpenAI Codex两类主流AI代码代理工具,在用户执行常规代码安全分析的过程中,静默运行攻击者控制的恶意程序。
本次攻击覆盖Claude Sonnet 4.6、Sonnet 5、Opus 4.8以及GPT-5.5等前沿大模型,且仅利用工具默认的自动运行配置就能完成,无需任何额外插件或配置修改。
01
零额外依赖,攻击藏在普通文件里
这场攻击最具颠覆性的特点,是完全不需要插件、MCP服务、自定义脚本等特殊条件,所有攻击载荷都隐藏在第三方代码库的常规文件中。
研究人员以热门Python地理编码库geopy为样本完成了攻击复现:他们在代码库中加入security.sh脚本与名为code\_policies的恶意二进制文件,同时配套编写了同名Go语言源码文件code\_policies.go作为伪装——源码内的字符串与二进制文件一一对应,足以让AI判定这是由源码正常编译生成的合法工具。
攻击者只需在README.md中补充一句说明,称security.sh是项目自带的常规安全校验脚本。当用户向AI发出“对该代码库执行安全测试”的指令后,AI代理会自动遍历代码文件、读取文档说明、查验源码内容,最终判定该脚本安全可信并自动执行,攻击者由此直接获得用户主机的远程代码执行权限。
02
“安全自动模式”反成攻击突破口
Claude Code的auto-mode与Codex的auto-review,原本是官方主推的“安全与效率平衡”方案:通过内置分类器自动放行低风险命令,仅将可疑操作推送给人工复核。Anthropic曾公开表示,自动模式下有93%的权限提示会被用户批准,分类器的设计目标就是在不降低安全性的前提下减少人工打扰。
但在Friendly Fire攻击面前,这套防护机制直接失效。分类器的代码匹配逻辑被“源码+对应二进制”的伪装组合轻易绕过,持续将恶意负载判定为低风险。
更值得警惕的是,这套攻击代码无需任何修改,就能从Claude Code直接迁移到Codex上成功执行。这意味着该缺陷并非单个模型的个别bug,而是前沿大模型的共性底层问题——无法清晰区分“用户的可信指令”与“第三方的不可信数据”。
03
供应链场景风险全面拉响
近年开源供应链攻击频发,从Megalodon GitHub专项攻击到PyTorch Lightning库入侵事件,都已证明恶意代码完全可以通过依赖更新,悄无声息地触达海量下游开发者。
如果企业的CI/CD流水线引入AI代理,用来自动扫描依赖包更新的安全漏洞,这类注入攻击会在完全无人干预的情况下静默触发。
研究团队同时提醒,仅靠沙箱隔离无法彻底兜底:此前已有Claude Code的沙箱逃逸漏洞被披露,攻击者拿到执行权限后可进一步突破沙箱限制。而依赖人工审核同样不可靠——高频重复的权限弹窗会引发“提示疲劳”,自动化偏见也会让审核人员逐渐放松警惕。
04
核心防护建议
研究团队给出明确结论:在大模型从底层解决“指令与数据的信任边界”问题之前,不要为AI编码代理开放代码执行权限,去扫描来源不可信的外部代码库。
资讯来源:AI Now Institute 安全研究报告
球分享
球点赞
球在看
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:看雪学苑 看雪学苑 看雪学苑《安全审计反中招!Claude/GPT-5.5 AI代理遭供应链注入》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论