RSAC 2026的现场,安全研究员Ari Marzouk往演示电脑里丢了一段看起来人畜无害的提示词。三分钟后,Cursor开始自动修改自己的配置文件,Claude Code悄悄往.gitignore里塞了东西,而台下坐着的三千多名工程师还没反应过来发生了什么。
这不是魔术表演。这是本周在旧金山RSA大会上公开演示的攻击链,100%命中——Claude Code、Cursor、Windsurf、GitHub Copilot、Roo Code、JetBrains Junie、Cline,所有主流AI编程工具无一幸免。
Marzouk把这套攻击命名为「Prompt Injection → Agent Tools → Base IDE Features」。名字很长,但逻辑很脏:先骗过AI的提示词过滤,再调用工具权限,最后利用IDE本身的系统级功能完成持久化控制。24个CVE编号已经分配,AWS发了安全通告(AWS-2025-019)。
Unit 42的数据被反复引用:2021年数据泄露平均需要9天,2023年降到2天,2025年的最新数字是「以小时计」。当AI代理成为攻击入口,这个时间表还在压缩。
「持久化」才是新东西
传统提示词注入像是一次性诈骗——骗完这一单,下次重启就失效。但Marzouk演示的变种会污染AI的「记忆」:被注入的指令在数天甚至数周后仍会被调用执行,用户完全无感知。
想象一下:你上周让Claude Code帮忙重构一个模块,它「好心」地优化了你的shell配置。这周你打开终端,那个「优化」过的别名正在把环境变量悄悄发往境外。你检查进程列表,一切正常。你检查网络连接,没有异常。因为恶意代码跑在AI代理的上下文里,用的是你自己的凭证。
Cursor和Windsurf还有另一层麻烦。它们基于的Chromium/Electron版本已经过时,把大约180万开发者暴露在94个已知浏览器漏洞面前。CVE-2025-7656是一个已经被官方修补的Chromium缺陷,但研究人员成功用它攻击了当前版本的Cursor和Windsurf。
这是供应链 negligence,不是模型层面的漏洞,但利用难度更低——不需要懂提示工程,只需要一个构造好的网页。
「氛围编程」正在制造批量事故
RSAC今年的另一个靶子是「vibe coding」——那种闭着眼睛让AI生成代码、不看直接部署的工作流。Moltbook breach被 speaker 反复引用:150万个API密钥、3.5万封邮件、整个数据库,暴露时间不到三分钟。
Baxbench的基准测试数据在会上被展示:没有旗舰模型能在规模上可靠地产出安全代码。基础缺陷率高到「仔细审查」不是流程,是没有工具支撑的一厢情愿。
一个被反复提及的细节:很多团队把AI生成的代码直接合并到主分支,因为「看起来能跑」。但「能跑」和「安全」之间的鸿沟,正在被攻击者系统化地利用。
Marzouk的演示有个耐人寻味的收尾。他问观众:「你们中有多少人把公司代码库完整同步到了本地AI工具?」台下举手的人超过一半。他又问:「有多少人检查过这些工具的权限边界?」举手的人不到五个。
信任边界在哪里?
现代AI编程工具的设计哲学是「深度系统集成」。它们读取文件系统、执行命令、管理git、调用外部API。在大多数实现中,「AI助手」和「特权本地进程」之间的信任边界基本不存在。
攻击链的每一步都利用了这种设计选择:
第一步,提示注入。不需要多复杂,一个被污染的依赖包文档、一个恶意构造的代码注释,都可能成为入口。
第二步,工具调用。一旦AI决定调用某个工具(比如读取文件或执行命令),注入的指令就获得了执行环境。
第三步,IDE功能滥用。利用IDE本身的配置持久化、插件系统或自动同步机制,把 foothold 变成长期驻留。
研究人员强调,这不是某个工具的bug,是架构层面的特征。当你把LLM的推理能力和系统级权限绑在一起,就创造了攻击者梦寐以求的攻击面。
AWS的安全通告(AWS-2025-019)建议用户审查AI工具的文件系统访问范围,限制网络出口,并监控异常的工具调用模式。但这些建议的落地难度,和「仔细审查每一行AI生成的代码」差不多——理论上正确,执行上稀缺。
一个被现场反复讨论的问题是:当AI代理成为标准开发工具,安全团队的 visibility 反而在下降。传统的代码审计、依赖扫描、运行时监控,都假设人类是代码的作者。当作者变成概率模型,审计的基准线在哪里?
Marzouk在演讲末尾展示了一张截图:某主流AI工具的配置文件,被注入的指令以「优化建议」的形式保存,下次启动时自动加载。观众席有人低声骂了一句。这不是电影里的黑客场景,这是本周三下午真实发生的演示。
你的团队上周用AI生成了多少代码?其中有多少行被人类逐行看过?
热门跟贴