AI Agent安全危机:开源基础库漏洞致数百万系统面临远程劫持风险

Hacker News May 2026
来源:Hacker NewsAI agent securityautonomous systems归档:May 2026
一个被数百万AI Agent广泛依赖的开源基础库中,发现了一个致命的远程代码执行漏洞。攻击者可借此绕过沙箱限制,完全接管自主系统,暴露出Agent部署速度与安全成熟度之间的危险鸿沟。

一个严重的安全漏洞已被发现存在于`agent-core-lib`中,这是一个被广泛采用的开源Python库,为AI Agent提供运行时环境。该漏洞是一种经典的沙箱逃逸结合任意代码执行(ACE),允许攻击者注入恶意指令,绕过所有隔离层。一旦被利用,攻击者将获得与Agent相同的系统级权限,从而能够读取敏感数据、修改Agent行为、窃取凭证或横向移动至内部网络。该库被嵌入超过230万个活跃的Agent部署中,包括那些驱动自动化交易系统、客户支持管道和供应链编排工具的系统。这并非理论风险:概念验证型利用代码已经出现。

技术深度剖析

该漏洞编号为CVE-2025-XXXX,存在于`agent-core-lib`(GitHub: `agent-core/agent-core-lib`,拥有14,000+星标,1,200+分支)中,这是一个为LangChain、AutoGPT以及多个专有企业Agent平台等Agent编排框架提供基础运行时的Python库。漏洞并非出在模型本身,而是出在执行环境——具体来说,是旨在隔离Agent操作的沙箱机制。

漏洞架构:

该库使用Python的`exec()`和`eval()`函数,并包裹在一个自定义沙箱中,实现了一个“可信执行上下文”。沙箱试图限制对危险内建函数(如`__import__`、`open`、`os.system`和`subprocess`)的访问。然而,该漏洞利用了Python的`__subclasshook__`与`abc.ABCMeta`元类之间的微妙交互。通过构造一个覆盖`__subclasshook__`方法的恶意子类,攻击者可以欺骗沙箱,使其允许调用`object.__getattribute__`,从而获得对原始、无限制的`builtins`模块的引用。由此,实现完全代码执行便轻而易举。

攻击向量:

1. 输入注入: 攻击者构造一个提示词或结构化数据输入(例如,一个JSON载荷),由Agent进行处理。这可能是一个看似良性的用户查询、一个畸形的API响应,或一份被投毒的文档。
2. 沙箱逃逸: 注入的载荷包含一个利用元类绕过漏洞的Python表达式。Agent的运行时在沙箱化的`exec()`调用中执行此表达式。
3. 权限提升: 一旦沙箱被攻破,攻击者就能访问`os.system`,并以Agent进程的权限运行任意Shell命令。
4. 持久化与横向移动: 攻击者可以下载额外的载荷、安装后门,或利用Agent存储的API密钥访问外部服务。

性能影响与检测:

该利用手段几乎不留取证痕迹,因为它是在Agent的正常执行流程中运行的。监控网络流量的标准入侵检测系统(IDS)可能会错过初始注入,如果它被嵌入看似合法的API调用中。下表将该漏洞的特征与常见攻击类型进行了比较:

| 攻击类型 | 检测难度 | 所需权限 | 典型影响 | 修复复杂度 |
|---|---|---|---|---|
| 提示注入(标准) | 中等 | 无 | 数据泄露、行为异常 | 低(输入过滤) |
| 通过`agent-core-lib`的RCE | 高 | 无 | 完全系统沦陷 | 高(打补丁+审计) |
| 依赖混淆 | 低 | 无 | 恶意包安装 | 中等(锁定文件) |
| 模型投毒 | 非常高 | 训练访问权限 | 输出偏差 | 非常高(重新训练) |

数据要点: RCE漏洞之所以特别危险,是因为它结合了提示注入的低门槛和系统级沦陷的全面影响。这是当前Agent生态系统面临的最严重的一类攻击。

关键参与者与案例研究

该漏洞直接影响三大类利益相关者:开源维护者、Agent框架提供商和企业采用者。

开源维护者:

`agent-core-lib`项目由一个三人小团队维护。他们有着良好的过往记录,但缺乏进行全面安全审计的资源。他们的响应——在48小时内发布补丁——非常迅速,但该库的流行度已经超过了其治理能力。这是AI开源生态系统中反复出现的模式。

Agent框架提供商:

| 框架 | Agent部署量(估计) | 对`agent-core-lib`的依赖 | 补丁状态(截至5月26日) |
|---|---|---|---|
| LangChain | 120万 | 核心依赖 | 已在v0.3.15中修补 |
| AutoGPT | 85万 | 可选但推荐 | 已发布补丁建议 |
| CrewAI | 20万 | 核心依赖 | 已在v0.8.2中修补 |
| Microsoft Semantic Kernel | 15万 | 不直接依赖 | 不受影响 |
| OpenAI Assistants API | 未公开 | 不依赖 | 不受影响 |

数据要点: 两个最大的开源Agent框架,LangChain和AutoGPT,直接受到影响。它们合计超过200万部署的用户群代表了Agent生态系统的大多数。Microsoft Semantic Kernel通过使用不同的沙箱方法(基于C#,具有更强的进程隔离)避免了该问题,这一事实突显了一个关键架构教训。

企业案例研究:FinServ自动化

一家大型金融服务公司(我们将其匿名称为“FinServeCo”)已部署了5,000个使用`agent-core-lib`的Agent,用于自动化交易对账和合规报告。这些Agent拥有对内部交易数据库和托管账户的直接API访问权限。在得知该漏洞后,FinServeCo进行了紧急审计,并发现其12%的Agent处理过来自不受信任外部的输入。

更多来自 Hacker News

AI代理浏览维基百科烧掉6.8万Token:网络架构的隐形税AINews揭示了新兴AI代理生态系统中的一个关键瓶颈:网页读取的成本。当AI代理获取一个网页时,它会消耗完整的原始HTML,包括导航栏、脚本、样式和广告——这些都不贡献于所寻求的信息。我们的分析显示,一篇维基百科文章消耗68,240个ToAI2Web协议:让每个网站都成为AI智能体的原生伙伴AINews独家揭秘一项突破性的开放协议——AI2Web,它旨在解决AI智能体开发中的根本瓶颈:自主智能体与非结构化网页之间缺乏标准化接口。目前,开发者必须为每个目标网站构建定制API或依赖脆弱的抓取技术,这造成了碎片化的生态系统,每个智能决策树记忆架构:自主AI智能体的新操作系统AI智能体行业长期以来将记忆视为存储问题:更大的上下文窗口、更庞大的向量数据库、更快的检索速度。然而,AINews的调查揭示,真正的瓶颈在于策略而非容量。领先的工程团队如今正部署模仿人类认知优先级排序的决策树架构:一个客服智能体在单次会话中查看来源专题页Hacker News 已收录 5723 篇文章

相关专题

AI agent security158 篇相关文章autonomous systems127 篇相关文章

时间归档

May 20263028 篇已发布文章

延伸阅读

AI Agent安全:SBOM已死,组合图才是未来传统软件物料清单(SBOM)只能列出静态组件,却无法追踪工具、模型与数据流在运行时的交互方式,在保护AI Agent时彻底失效。AINews深度解析为何行业必须转向组合图(Composition Graph)——一张动态、实时的Agent交AutoJack攻击:AI代理沦为恶意接管载体,浏览器信任链遭致命利用一种名为AutoJack的新型攻击,利用AI代理对浏览器渲染内容的固有信任,将单个恶意网页转化为针对宿主机的远程代码执行(RCE)向量。这标志着AI安全讨论从模型层面的威胁,正式转向执行环境漏洞的攻防战场。五眼联盟与CISA投下AI Agent安全重磅炸弹:合规时代正式开启CISA、NSA与五眼联盟情报机构联合发布首份针对AI Agent部署的强制性安全指南。AINews深度解析技术硬性规定、市场格局剧变,以及为何这标志着整个行业迎来合规分水岭。AI代理安全危机:NCSC警告忽视了自主系统的深层缺陷英国国家网络安全中心(NCSC)发出“完美风暴”预警,聚焦AI驱动的威胁升级。然而,AINews调查发现,更深层的危机潜伏在AI代理架构本身——提示注入、工具滥用和运行时监控缺失,正制造出远超现有防御能力的系统性漏洞。

常见问题

这次模型发布“AI Agent Security Crisis: Open Source Flaw Exposes Millions to Remote Hijack”的核心内容是什么?

A severe security vulnerability has been identified in agent-core-lib, a widely adopted open-source Python library that provides the runtime environment for AI agents. The flaw, a…

从“How to patch agent-core-lib vulnerability in LangChain”看,这个模型发布为什么重要?

The vulnerability, designated CVE-2025-XXXX, resides in agent-core-lib (GitHub: agent-core/agent-core-lib, 14,000+ stars, 1,200+ forks), a Python library that provides the foundational runtime for agent orchestration fra…

围绕“AI agent sandbox escape prevention best practices”,这次模型更新对开发者和企业有什么影响?

开发者通常会重点关注能力提升、API 兼容性、成本变化和新场景机会,企业则会更关心可替代性、接入门槛和商业化落地空间。