RSAC 2026现场,安全研究员Ari Marzouk投下一枚数据炸弹:测试覆盖的所有AI编程环境——Claude Code、Cursor、Windsurf、GitHub Copilot、Roo Code、JetBrains Junie、Cline——prompt注入攻击成功率100%。
这不是实验室假设。旧金山莫斯康会议中心的主舞台上,攻击链路正在实时演示:Prompt Injection → Agent Tools → Base IDE Features。24个CVE编号已分配,AWS同步发布安全通告AWS-2025-019。
你的AI助手正在变成后门。这句话从威胁情报变成产品说明书,只用了15分钟。
信任边界崩塌:当"智能提示"获得系统权限
现代AI编程工具的权限模型,本质上是一次集体安全债的透支。它们读取文件系统、执行终端命令、管理git仓库、调用外部API——"AI助手"与"特权本地进程"之间的隔离墙,在大多数实现里根本不存在。
Marzouk演示的攻击链分三步走:
第一步,通过恶意依赖、文档或代码注释注入prompt指令。第二步,AI代理工具执行这些指令,调用IDE内置功能。第三步,获得持久化立足点——内存投毒后的智能体系统会将攻击载荷无限期携带,研究人员发现被注入的指令在数天甚至数周后仍被召回执行。
这与传统prompt注入的关键差异在于持久化。标准攻击会话结束后即失效,而Agentic系统的记忆机制让后门获得"长期居住证"。
Cursor和Windsurf的供应链问题则属于另一类疏忽。两者基于过时的Chromium/Electron版本构建,约180万开发者暴露在94个以上已知浏览器CVE之下。CVE-2025-7656——一个已修复的Chromium漏洞——被成功武器化用于攻击当前版本的Cursor和Windsurf。
模型层面的脆弱性与供应链 negligence(疏忽)叠加,形成双通道渗透路径。
"氛围编程"的代价:1.5百万API密钥三分钟泄露
RSAC今年的另一个靶子是"vibe coding"(氛围编程)。Moltbook数据泄露事件被反复引用:150万API密钥、3.5万封邮件、整个数据库,在不到三分钟内全部暴露。
这成为"无审查部署AI生成代码"的标准事故样本。
但问题结构比个人失误更深层。Baxbench基准测试数据显示,没有旗舰模型能在规模化场景下可靠产出安全代码。AI生成代码的安全缺陷基线如此之高,"仔细审查"在没有工具支撑时只是美好的愿望。
Unit 42给出的时间线更令人窒息:数据外泄平均耗时从2021年的9天,压缩到2023年的2天,再到——
原文在此处截断,但趋势已经足够清晰。防御窗口正在以月为单位坍缩。
工作流重构:从"信任但验证"到"零信任编码"
对25-40岁的技术从业者而言,这意味什么?
你正在使用的AI编程工具,其安全模型可能停留在2023年的认知水平。而攻击者的工具链已经迭代到2026年。
Marzouk在演讲后接受现场提问时,被问及"开发者现在该做什么"。他的回答没有迂回:隔离AI代理的执行环境,审计所有工具调用,假设任何AI生成的代码片段都可能携带激活条件。
「这不是禁用AI工具的理由,」Marzouk说,「但必须是重新设计工作流的理由。」
具体而言:为AI代理创建受限沙箱,禁止直接访问生产密钥;将AI生成的代码变更强制经过静态分析流水线;对IDE的浏览器内核版本建立监控机制——Cursor和Windsurf的Chromium滞后问题,本可通过依赖扫描提前发现。
AWS-2025-019通告的发布节奏也值得注意。云厂商正在将AI编程工具纳入共享责任模型的灰色地带:你使用的IDE组件漏洞,算谁的风险敞口?
一个尚未被充分讨论的细节是:CVE-2025-7656的利用代码在Chromium补丁发布后72小时内即出现在公开渠道,但Cursor和Windsurf的更新延迟了11天。这11天的窗口期,足够完成从PoC到大规模利用的完整链条。
当你的开发环境成为供应链攻击的跳板,传统的"外部威胁-内部资产"二分法失效了。攻击面现在包括你主动安装的、每天使用8小时的"生产力工具"。
RSAC现场的一个观众提问被掌声打断:「如果100%的工具都 vulnerable(存在漏洞),我们是在等一个更安全的替代品,还是在等一次足够大的事故来倒逼改变?」
Marzouk没有直接回答。他展示了最后一张幻灯片:CVE编号列表正在以周为单位增长,而工具厂商的修复承诺平均滞后23天。
你的团队上周提交的代码里,有多少行来自AI补全?其中又有多少行在提交前经过了超出语法检查的安全审查?
热门跟贴