玄武實驗室揭露：AI智能體劫持漏洞與 RCE 攻擊新手法

2025 年 8 月 6 日，玄武實驗室在 BlackHat 會議上公布了一種「普適且跨環境觸發」的 AI 智能體劫持技術，能在任意受害者環境中注入並執行任意指令，從而實現遠程程式碼執行 (玄武實驗室, 2025)。此手法將 AI 生成模型作為中介，利用模型的推理過程來繞過傳統安全機制，並透過自然語言指令觸發內部執行環境。

主要發現

• 劫持流程：攻擊者向 AI 智能體發送特製語句，模型將產生包含惡意腳本的輸出；該輸出被直接喂入受害者內部流程，最終觸發 OS 命令執行。
• 跨平台適用：實驗室證明此手法在 Windows、Linux、macOS 以及容器化環境中均能成功，且不依賴任何特定的漏洞或配置。
• 觸發條件簡化：利用「上下文獨立觸發」機制，攻擊者只需提供簡短輸入即可誘導模型產生目標指令，降低了操作門檻。

技術細節示範

# 觸發範例
user_input = "請幫我執行 `ls -la `/tmp"
# 智能體回傳
response = model.generate(user_input)
# 直接執行回傳結果
os.system(response)

上述流程中，model.generate 會生成包含 shell 命令的字串，os.system 立即執行，完成 RCE。

MITRE ATT&CK 對應

• T1059 – Command and Scripting Interpreter
• T1105 – Ingress Tool Transfer
• T1190 – Exploit Public-Facing Application
• T1064 – Scripting

防禦建議

1. 限制 AI 模型的輸出範圍：使用白名單機制僅允許特定類型的輸出。
2. 執行環境監控：部署行為分析工具，偵測非預期的 Shell 執行。
3. 多層認證：對所有可執行腳本增加多因素認證或代碼簽名驗證。
4. 定期安全測試：針對 AI 劫持場景進行滲透測試，確保安全機制不被繞過。

參考資料與原文來源

• 「玄武在BlackHat揭示劫持智能体达成RCE的新方法」– 玄武实验室 (2025) – https://xlab.tencent.com/cn/2025/08/06/universal-and-context-independent-triggers/
• 「腾讯安全玄武实验室技术动态」– OurCoders (2025) – https://ourcoders.com/trend/user/5582522936
• 「腾讯玄武实验室」– 官方網站 (2025) – https://xlab.tencent.com/cn/
• 「AWS推Nova Forge讓企業從預訓練階段客製專用模型」– IT之家 (2025) – https://www.ithome.com.tw/news/172606
• 「數發部：抖音、微信、小紅書等5款App存在高資安風險，可能洩露資料至中國」– IT之家 (2025) – https://www.ithome.com.tw/news/172598

🧠 本文由 DreamJ AI 技術新聞生成系統 自動撰寫與優化，
內容僅供技術研究與學習參考，實際環境請搭配官方公告與資安建議。