基於通用觸發器的智能體劫持：實現遠程程式碼執行的新型提示詞注入攻擊

背景與風險概覽

隨著 AI Agent 逐步從單一聊天機器人演變為具備感知、推理與執行能力的自動化工作流，攻擊面亦同步擴大。AI Agent 主要透過 LLM 與外部工具（如 API、資料庫、Slack）交互，形成「代理通信」層，這一層同時承載了大量信任邊界。AI 智能體安全治理白皮書指出，執行層（Execution Layer）是最易被利用的風險點之一，因其直接執行代碼或命令 (AI Agent Governance Whitepaper)。

提示詞注入與通用觸發器的結合

傳統提示詞注入（Prompt Injection）利用 LLM 對自然語言輸入的模糊理解，將攻擊者的指令混入用戶輸入，誘導模型執行非預期操作。新型攻擊在於使用「通用觸發器」——如「yes」「sure」「ok」等常見確認詞，作為延遲工具調用（delayed tool invocation）的激活點。當指令被推送至代理執行層時，觸發器會被模型識別為合法的執行信號，進而啟動配置中的惡意腳本 (Prompt Injection Guide 2025)。

實際案例：Cursor 代碼編輯器的 CurXecute 漏洞

Cursor 1.3 版本因 MCP（Model Control Protocol）配置文件自動執行功能，導致攻擊者可在公共 GitHub issue 中注入惡意指令，篡改 ~/.cursor/mcp.json，最終以開發者權限執行任意程式碼。該漏洞（CVE‑2025‑54135）在 2025‑07‑29 以 1.3 版本修復，CVSS 8.6 (Cursor blog)。

通用觸發器在代理通信中的利用

代理通信協議（如 MCP、A2A）允許代理在不同環境間傳遞工具調用請求。攻擊者可將惡意「工具描述」嵌入公共文件，並在代理收到特定觸發詞時，觸發「工具執行」動作。ByteDance Jeddak AgentArmor 研究報告指出，GitHub MCP 整合漏洞已被利用於「中毒代理流」攻擊，代理在未經授權的情況下將私有倉庫資料外洩 (ByteDance article)。

防禦建議

• 對代理的系統提示（system prompt）進行嚴格篩選，限制可執行的工具類型。
• 實施「工具白名單」和「權限最小化」策略，僅允許受信任工具被執行。
• 採用「延遲檢查」機制，將觸發詞解析與實際執行分離，確保非即時執行。
• 監控代理通信流，檢測非預期的工具請求或配置變更。
• 定期審計 MCP/A2A 配置，確保未被外部篡改。

結論

通用觸發器與提示詞注入的結合為 AI Agent 造成前所未有的遠程程式碼執行風險。企業在部署 AI Agent 時，必須將代理通信安全納入治理框架，採取多層防禦，才能有效阻斷此類攻擊。

MITRE ATT&CK 對應

• T1059 – 命令與腳本執行 (Command and Scripting Interpreter)
• T1606 – 代理通信 (Agent Execution)
• T1059.001 – PowerShell
• T1059.006 – JavaScript

參考資料與原文來源

• AI 智能體安全治理白皮書 – https://www.fxbaogao.com/detail/5065956
• Cursor 代碼編輯器高危漏洞解析 – https://blog.csdn.net/athink_cn/article/details/149895435
• AI 大模型提示詞攻擊防禦全景指南 2025 – https://www.cnblogs.com/whatsay/p/19180982
• 字節跳動 Jeddak AgentArmor 研究報告 – https://www.anquanke.com/post/id/312426
• AI 代理通信综述 – https://www.cnblogs.com/emergence/p/19110520

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。