预期外代码执行
风险概览
风险编号:GAARM.0060
子风险:无
安全阶段:应用安全
生命周期:应用阶段
创建时间:2025.12.10
修改时间:2025.12.10
攻击概述¶
预期外代码执行是指智能体在执行任务过程中,由于Prompt注入、工具误用或逻辑缺陷等原因,执行了超出预期范围或未被授权的代码操作。这种风险的核心在于智能体缺乏对代码执行边界的有效控制,可能通过动态代码生成、工具链调用或脚本执行等方式,执行恶意的、危险的或非预期的代码,导致系统被入侵、数据被篡改、敏感信息泄露或服务被中断等严重后果。
攻击案例¶
| 案例 | 描述 |
|---|---|
| 案例一 | 漏洞源于表单节点在处理Content-Type时未作校验,致使攻击者可指定任意本地敏感文件路径,最终通过信息泄露伪造管理员身份并执行恶意工作流命令。 |
| 案例二 | 该案例展示了 AI 红队通过提示注入,诱导具备桌面操作能力的多模态模型下载并执行恶意程序,最终建立 C2 通信通道,实现非预期的代码执行与远程控制,使宿主系统沦为“僵尸主机”。 |
| 案例三 | 该案例展示了通过提示注入操控 ChatGPT 的长期记忆(Memory)机制,植入攻击者定义的隐蔽指令逻辑,使模型在后续对话中持续与远程 C2 通信并执行指令,形成模型层面的“僵尸化控制”与非预期行为执行。 |
攻击风险¶
- 系统入侵:恶意代码执行导致系统被完全控制
- 数据破坏:执行破坏性操作导致数据丢失或篡改
- 权限提升:通过代码执行获得更高的系统权限
- 后门植入:在系统中植入持久化后门
- 服务中断:执行恶意代码导致服务不可用
- 横向渗透:利用代码执行攻击其他系统
缓解措施¶
| 缓解方式 | 描述 |
|---|---|
| 代码执行沙箱 | 将代码执行限制在安全隔离环境中,使用容器或虚拟机隔离,限制文件系统、网络和系统调用访问 |
| 代码审查验证 | 实施静态代码安全分析,建立代码安全规则库,动态检测恶意代码模式 |
| 权限控制 | 实施最小权限原则,限制代码执行工具的权限范围,建立代码执行审批机制 |
| 输入验证过滤 | 严格验证代码生成输入,过滤危险函数和操作,检测潜在的恶意意图 |