Cymulate研究实验室近日发布报告指出,包括Claude Code、Gemini CLI、Codex CLI、Cursor和GitHub Copilot在内的多款主流AI编程辅助工具存在严重的架构缺陷。研究人员发现,这些工具在处理配置文件和信任边界时存在逻辑漏洞,导致攻击者能够轻易突破沙盒限制,在宿主机上执行恶意代码。
结构性漏洞:基于配置的沙盒逃逸
Cymulate安全研究团队负责人Ilan Kalendarov及其团队将此类漏洞定义为“基于配置的沙盒逃逸”(CBSE)。与传统的通过操作系统或容器运行时漏洞进行攻击不同,CBSE攻击通过修改AI代理在沙盒外部处理的受信任文件或执行路径,从而实现权限提升。
当AI代理下次启动时,攻击者注入的代码便会在宿主机上运行。研究显示,该漏洞允许攻击者获取用户权限,进而访问敏感凭据、源代码,甚至渗透至云端环境。Cymulate团队在Anthropic、Google和OpenAI等厂商提供的工具中均复现了这一攻击模式。
研究报告强调,这些AI工具的核心问题在于将沙盒视为唯一的安全边界,却忽略了沙盒内部对于宿主机配置文件的写权限。这种设计逻辑使得沙盒隔离在面对恶意输入时显得不堪一击。
尽管Cymulate已向相关厂商披露了这些安全隐患,但各厂商的响应速度参差不齐。部分厂商已着手修复,而另一些厂商则未能有效解决底层架构问题或完全没有回应。研究指出,目前AI驱动的开发工具正处于激进的扩张期,但其安全架构设计严重滞后于产品迭代速度。
专家警告称,AI编程工具通常被市场包装为能够审计代码、发现漏洞的安全助手,但这些工具本身却成为了攻击者的新目标。企业在部署这些AI代理时,必须将其视为拥有高权限的软件,并对其访问开发环境的能力进行严格的权限审计。随着AI工具深入现代开发工作流,安全边界的设计与实现已成为不可忽视的行业课题。
