-
-
安全审计反中招!Claude/GPT-5.5 AI代理遭供应链注入
-
发表于: 8小时前 500
-
如今不少安全从业者和开发者,都习惯把第三方代码库丢给AI,让它自动完成安全审计、漏洞排查。省时省力的同时,却很少有人意识到:这项本为加固安全而生的操作,反而可能成为恶意代码入侵的入口。
AI Now研究院最新披露了代号为Friendly Fire的新型攻击手段:攻击者可通过开源代码供应链,劫持Anthropic Claude Code与OpenAI Codex两类主流AI代码代理工具,在用户执行常规代码安全分析的过程中,静默运行攻击者控制的恶意程序。
本次攻击覆盖Claude Sonnet 4.6、Sonnet 5、Opus 4.8以及GPT-5.5等前沿大模型,且仅利用工具默认的自动运行配置就能完成,无需任何额外插件或配置修改。
零额外依赖,攻击藏在普通文件里
这场攻击最具颠覆性的特点,是完全不需要插件、MCP服务、自定义脚本等特殊条件,所有攻击载荷都隐藏在第三方代码库的常规文件中。

研究人员以热门Python地理编码库geopy为样本完成了攻击复现:他们在代码库中加入`security.sh`脚本与名为`code_policies`的恶意二进制文件,同时配套编写了同名Go语言源码文件`code_policies.go`作为伪装——源码内的字符串与二进制文件一一对应,足以让AI判定这是由源码正常编译生成的合法工具。
攻击者只需在README.md中补充一句说明,称`security.sh`是项目自带的常规安全校验脚本。当用户向AI发出“对该代码库执行安全测试”的指令后,AI代理会自动遍历代码文件、读取文档说明、查验源码内容,最终判定该脚本安全可信并自动执行,攻击者由此直接获得用户主机的远程代码执行权限。
“安全自动模式”反成攻击突破口
Claude Code的`auto-mode`与Codex的`auto-review`,原本是官方主推的“安全与效率平衡”方案:通过内置分类器自动放行低风险命令,仅将可疑操作推送给人工复核。Anthropic曾公开表示,自动模式下有93%的权限提示会被用户批准,分类器的设计目标就是在不降低安全性的前提下减少人工打扰。
但在Friendly Fire攻击面前,这套防护机制直接失效。分类器的代码匹配逻辑被“源码+对应二进制”的伪装组合轻易绕过,持续将恶意负载判定为低风险。
更值得警惕的是,这套攻击代码无需任何修改,就能从Claude Code直接迁移到Codex上成功执行。这意味着该缺陷并非单个模型的个别bug,而是前沿大模型的共性底层问题——无法清晰区分“用户的可信指令”与“第三方的不可信数据”。
供应链场景风险全面拉响
近年开源供应链攻击频发,从Megalodon GitHub专项攻击到PyTorch Lightning库入侵事件,都已证明恶意代码完全可以通过依赖更新,悄无声息地触达海量下游开发者。
如果企业的CI/CD流水线引入AI代理,用来自动扫描依赖包更新的安全漏洞,这类注入攻击会在完全无人干预的情况下静默触发。
研究团队同时提醒,仅靠沙箱隔离无法彻底兜底:此前已有Claude Code的沙箱逃逸漏洞被披露,攻击者拿到执行权限后可进一步突破沙箱限制。而依赖人工审核同样不可靠——高频重复的权限弹窗会引发“提示疲劳”,自动化偏见也会让审核人员逐渐放松警惕。
核心防护建议
研究团队给出明确结论:在大模型从底层解决“指令与数据的信任边界”问题之前,不要为AI编码代理开放代码执行权限,去扫描来源不可信的外部代码库。
资讯来源:AI Now Institute 安全研究报告
[内核课程]《Windows内核攻防实战》!从零到实战,融合AI与Windows内核攻防全技术栈,打造具备自动化能力的内核开发高手。