webpro255/awesome-ai-agent-attacks

# 优秀的AI智能体攻击事件合集 [](https://awesome.re) 一份2024-2026年真实AI智能体安全事件、漏洞和泄露的精选时间线。每一条记录都包含日期、涉及的公司/产品、具体影响、根本原因、适用的CVE（如有）以及来源链接。 不掺杂观点。不做产品推广。只有事实与来源。 最后更新：2026-04-21 ## 目录 - [2026年事件](#2026-incidents) - [2025年事件](#2025-incidents) - [2024年事件](#2024-incidents) - [关键统计](#key-statistics) - [攻击模式分类](#attack-pattern-taxonomy) - [贡献指南](#contributing) ## 2026年事件 ### 2026-04-20 - Vercel 借助 Context.ai AI 工具供应链遭入侵 - **目标**：Vercel（Next.js 托管平台）经由 Context.ai（AI 办公套件） - **影响**：攻击者访问了 Vercel 的 Google Workspace 和内部系统，包括部分客户项目的环境变量；窃取的数据在 BreachForums 上以 200 万美元报价出售；下游加密项目紧急轮换 API 密钥 - **根本原因**：Context.ai 员工感染 Lumma 盗号木马；攻击者滥用 Vercel 员工已授予“允许全部”企业范围的 Context.ai Google Workspace OAuth 应用；OAuth 令牌重放进而攻占了 Vercel 租户 - **来源**：[TechCrunch](https://techcrunch.com/2026/04/20/app-host-vercel-confirms-security-incident-says-customer-data-was-stolen-via-breach-at-context-ai/)、[The Hacker News](https://thehackernews.com/2026/04/vercel-breach-tied-to-context-ai-hack.html)、[The Register](https://www.theregister.com/2026/04/20/vercel_context_ai_security_incident/)、[Vercel Bulletin](https://vercel.com/kb/bulletin/vercel-april-2026-security-incident)、[OX Security](https://www.ox.security/blog/vercel-context-ai-supply-chain-attack-breachforums/)、[Trend Micro](https://www.trendmicro.com/en_us/research/26/d/vercel-breach-oauth-supply-chain.html)、[CoinDesk](https://www.coindesk.com/tech/2026/04/20/hack-at-vercel-sends-crypto-developers-scrambling-to-lock-down-api-keys)、[Tom's Hardware](https://www.tomshardware.com/tech-industry/cyber-security/vercel-breached-after-employee-grants-ai-tool-unrestricted-access-to-google-workspace) ### 2026-04-17 - FastGPT 身份验证与密码修改的 NoSQL 注入 - **目标**：FastGPT AI 智能体构建平台（版本低于 v4.14.9.5） - **影响**：未认证攻击者可通过 MongoDB 操作符注入以任意用户身份登录（包括 root）；已认证攻击者可绕过旧密码验证接管任意账户 - **根本原因**：密码登录端点缺乏运行时验证的类型断言；密码修改端点存在 NoSQL 操作符注入 - **CVE**：CVE-2026-40351（CVSS 9.8）、CVE-2026-40352（CVSS 8.8） - **来源**：[TheHackerWire CVE-2026-40351](https://www.thehackerwire.com/vulnerability/CVE-2026-40351/)、[TheHackerWire CVE-2026-40352](https://www.thehackerwire.com/vulnerability/CVE-2026-40352/) ### 2026-04-16 - Anthropic MCP 系统性 STDIO 设计 RCE - **目标**：Anthropic 模型上下文协议（Model Context Protocol）参考 SDK（Python、TypeScript、Java、Rust）及超过 20 万个下游实例 - **影响**：通过 STDIO 传输可在任意 MCP 主机上执行任意命令；OX Security 演示了六个生产平台的接管以及 30 多个 RCE 报告，涉及 LiteLLM、LangChain、Flowise、GPT Researcher、Agent Zero、Windsurf 等项目；下游项目分配了 11 个 CVE - **根本原因**：MCP STDIO 传输接受任意命令字符串并传递给子进程执行，且无校验、清洗或沙箱；即使进程启动失败也会执行命令；Anthropic 拒绝修改协议，称清洗是开发者的责任 - **CVE**：CVE-2025-65720、CVE-2026-30623、CVE-2026-30624、CVE-2026-40933（Flowise MCP 适配器，CVSS 10.0）以及 7 个以上其他 CVE - **来源**：[OX Security](https://www.ox.security/blog/the-mother-of-all-ai-supply-chains-critical-systemic-vulnerability-at-the-core-of-the-mcp/)、[The Hacker News](https://thehackernews.com/2026/04/anthropic-mcp-design-vulnerability.html)、[The Register](https://www.theregister.com/2026/04/16/anthropic_mcp_design_flaw/)、[CSO Online](https://www.csoonline.com/article/4159889/rce-by-design-mcp-architectural-choice-haunts-ai-agent-ecosystem.html)、[Infosecurity Magazine](https://www.infosecurity-magazine.com/news/systemic-flaw-mcp-expose-150/)、[TechRadar](https://www.techradar.com/pro/security/this-is-not-a-traditional-coding-error-experts-flag-potentially-critical-security-issues-at-the-heart-of-anthropics-mcp-exposes-150-million-downloads-and-thousands-of-servers-to-complete-takeover)、[GitHub Advisory CVE-2026-40933](https://github.com/advisories/GHSA-c9gw-hvqq-f33r) ### 2026-04-15 - LiteLLM OIDC 用户信息缓存认证绕过 - **目标**：启用 JWT 认证的 LiteLLM（BerriAI LLM 网关）部署 - **影响**：未认证攻击者可构造与缓存合法令牌前 20 个字符相同的令牌，从而继承该用户的身份与权限 - **根本原因**：OIDC 用户信息缓存键使用 `token[:20]` 而非完整令牌或安全哈希；同一签名算法生成的 JWT 具有相同头部前缀 - **CVE**：CVE-2026-35030（CVSS 9.4） - **来源**：[LiteLLM Advisory](https://docs.litellm.ai/blog/security-hardening-april-2026)、[GitLab Advisory](https://advisories.gitlab.com/pkg/pypi/litellm/CVE-2026-35030/)、[GitHub Advisory](https://github.com/advisories/GHSA-jjhc-v7c2-5hh6)、[SecurityOnline](https://securityonline.info/litellm-security-vulnerability-auth-bypass-rce-patch/)、[Wiz](https://www.wiz.io/vulnerability-database/cve/cve-2026-35030) ### 2026-04-15 - Copilot Studio ShareLeak 与 Agentforce PipeLeak 表单式提示注入 - **目标**：Microsoft Copilot Studio 与 Salesforce Agentforce - **影响**：攻击者在面向公众的 SharePoint 或 Web-to-Lead 表单字段中填入伪造的系统角色负载；劫持的代理批量查询连接的数据源并通过电子邮件将结果发送给攻击者邮箱，无流量上限、无人工介入提示，且执行痕迹对触发代理的员工不可见；Capsule Security 报告称 Agentforce 子代理（此前称 Custom Topics）的电子邮件通道在 Salesforce 修复后仍可利用 - **根本原因**：不受信任的表单输入直接拼接至代理上下文窗口；代理同时具备读取 CRM/SharePoint 数据的权限与发送外发邮件的权限 - **CVE**：CVE-2026-21520（CVSS 7.5，Copilot ShareLeak）；PipeLeak 未分配 CVE - **来源**：[VentureBeat](https://venturebeat.com/security/microsoft-salesforce-copilot-agentforce-prompt-injection-cve-agent-remediation-playbook)、[Dark Reading](https://www.darkreading.com/cloud-security/microsoft-salesforce-patch-ai-agent-data-leak-flaws)、[CSO Online](https://www.csoonline.com/article/4159079/copilot-and-agentforce-fall-to-form-based-prompt-injection-tricks.html)、[NVD CVE-2026-21520](https://nvd.nist.gov/vuln/detail/CVE-2026-21520)、[PointGuard AI](https://www.pointguardai.com/ai-security-incidents/copilot-studio-leak-the-assistant-that-overshared-cve-2026-21520) ### 2026-04-15 - Claude Code、Gemini CLI、GitHub Copilot Agent 通过 GitHub 评论劫持 - **目标**：Anthropic Claude Code 安全审核、Google Gemini CLI 动作、GitHub Copilot Agent（均为 GitHub Actions 集成） - **影响**：通过 PR 标题、问题描述和评论中的提示注入，在 Actions 运行器中执行任意命令；窃取 Anthropic 与 Gemini 的 API 密钥、GitHub 令牌以及运行器可访问的任何仓库或组织密钥 - **根本原因**：每个代理都将不受信任的 GitHub 评论内容作为权威指令摄入，未在策略与数据之间做分离；三家供应商均支付了漏洞赏金（Anthropic 100 美元、GitHub 500 美元、Google 未公开），但均未分配 CVE 或公开通告，使下游用户处于未知风险 - **来源**：[The Register](https://www.theregister.com/2026/04/15/claude_gemini_copilot_agents_hijacked/)、[SecurityWeek](https://www.securityweek.com/claude-code-gemini-cli-github-copilot-agents-vulnerable-to-prompt-injection-via-comments/)、[The Next Web](https://thenextweb.com/news/ai-agents-hijacked-prompt-injection-bug-bounties-no-cve)、[Cybernews](https://cybernews.com/security/ai-agents-github-prompt-injection-pattern/) ### 2026-04-15 - n8n Webhook 武器化用于钓鱼活动 - **目标**：n8n AI 工作流自动化平台（云端 Webhook） - **影响**：攻击者在钓鱼邮件中嵌入 n8n 托管的 Webhook URL；点击后在可信的 n8n 域内打开 JavaScript 验证码页面，随后下载修改后的 RMM 工具（如 Datto、ITarian）；2026 年 3 月携带此类 URL 的邮件量比 2025 年 1 月激增 686% - **根本原因**：可信 n8n 基础设施上的公共 Webhook URL 使攻击者能够绕过邮件安全过滤器（否则会拦截攻击者控制的域名）；滥用行为最早于 2025 年 10 月被观察到，并在 2026 年 4 月升级 - **来源**：[The Hacker News](https://thehackernews.com/2026/04/n8n-webhooks-abused-since-october-2025.html)、[Cisco Talos](https://blog.talosintelligence.com/the-n8n-n8mare/)、[SC Media](https://www.scworld.com/brief/ai-workflow-platform-n8n-abused-for-phishing-and-device-fingerprinting)、[TechRepublic](https://www.techrepublic.com/article/news-hackers-abuse-n8n-workflows-malware-delivery/) ### 2026-04-14 - OWASP GenAI Q1 2026 漏洞利用汇总报告 - **目标**：AI 生态（2026 年 1 月 1 日至 4 月 11 日） - **影响**：记录从理论风险向实际利用的转变；2026 年报告 520 起工具滥用与权限提升事件；提示注入占 450 起；突出 Anthropic Claude 被滥用于墨西哥政府 150GB 数据盗窃，是该时期最突出的案例；指出传统基于 CVE 的漏洞管理与 AI 架构风险之间的差距，后者往往无法获得 CVE ID - **根本原因**：报告综合分析；攻击者针对代理身份、编排层与供应链，而非仅模型输出 - **来源**：[OWASP GenAI Q1 2026 Report](https://genai.owasp.org/2026/04/14/owasp-genai-exploit-round-up-report-q1-2026/) ### 2026-04-13 - 恶意 LLM 路由器研究揭示凭证与加密货币盗窃 - **目标**：428 个公开 AI API 路由器（UCSB/UCSD 研究，发布于 arXiv，4 月 8 日，4 月 13 日放大） - **影响**：26 个路由器注入恶意工具调用，9 个注入恶意代码到代理输出，17 个访问了研究员的 AWS 凭证，至少一个耗尽研究员可控钱包的 ETH；单个客户端报告因恶意路由器损失 50 万美元加密货币；攻击包括负载注入（AC-1）、秘密外泄（AC-2）、依赖重写以及仅在自治“YOLO 模式”下触发的自适应规避 - **根本原因**：LLM 路由器作为客户端与模型提供方之间的不透明中间人；代理将重写后的工具调用视为可信输出 - **来源**：[ArXiv 论文](https://arxiv.org/html/2604.08407v1)、[CoinDesk](https://www.coindesk.com/tech/2026/04/13/ai-agents-are-set-to-power-crypto-payments-but-a-hidden-flaw-could-expose-wallets)、[Risky Business](https://news.risky.biz/risky-bulletin-malicious-llm-proxy-routers-found-in-the-wild/)、[CCN](https://www.ccn.com/news/crypto/will-ai-steal-bitcoin-research-malicious-llm-routers-crypto-theft/)、[OECD AI 事件数据库](https://oecd.ai/en/incidents/2026-04-10-d6e2) ### 2026-04-13 - Marimo 预认证 RCE 被武器化以在 Hugging Face 部署 NKAbuse - **目标**：Marimo Python 响应式笔记本平台（所有版本至 0.20.4） - **影响**：4 月 11 至 14 日间来自 11 个源 IP 国家的 662 次利用尝试；反向 Shell、凭证窃取、DNS 外泄、横向移动至 PostgreSQL 与 Redis，以及部署新的 NKAbuse 变种；恶意安装程序托管在名为“vsccode-modetx”的拼写错误 Hugging Face Space 上，投放名为 kagent 的 Go ELF 二进制文件，使用 NKN 区块链作为 C2 - **根本原因**：/terminal/ws WebSocket 端点缺少其他端点中存在的 `validate_auth()` 调用；未认证攻击者获得完整 PTY Shell；利用在公开披露后 10 小时内即开始 - **CVE**：CVE-2026-39987（CVSS 9.3） - **来源**：[Sysdig](https://www.sysdig.com/blog/cve-2026-39987-update-how-attackers-weaponized-marimo-to-deploy-a-blockchain-botnet-via-huggingface)、[The Hacker News](https://thehackernews.com/2026/04/marimo-rce-flaw-cve-2026-39987.html)、[BleepingComputer](https://www.bleepingcomputer.com/news/security/hackers-exploit-marimo-flaw-to-deploy-nkabuse-malware-from-hugging-face/)、[Cybersecurity News](https://cybersecuritynews.com/attackers-spread-blockchain-based-backdoor-via-hugging-face/) ### 2026-04-13 - Nginx UI MCP 认证绕过正被利用 - **目标**：nginx-ui 开源 Nginx 管理工具（版本低于 v2.3.4），约 2,600 个公开可访问实例 - **影响**：网络相邻攻击者可在两次 HTTP 请求中调用 12 个 MCP 工具（包括 nginx_config_add 并自动重载）；实现完整的 Nginx 服务器接管、流量拦截、管理员凭证收集；与 CVE-2026-27944 链可提取 node_secret 以维持会话控制 - **根本原因**：/mcp_message 端点对每个破坏性工具调用未使用保护 /mcp 端点的 AuthRequired() 中间件 - **CVE**：CVE-2026-33032（CVSS 9.8） - **来源**：[The Hacker News](https://thehackernews.com/2026/04/critical-nginx-ui-vulnerability-cve.html)、[BleepingComputer](https://www.bleepingcomputer.com/news/security/critical-nginx-ui-auth-bypass-flaw-now-actively-exploited-in-the-wild/)、[Rapid7](https://www.rapid7.com/blog/post/etr-cve-2026-33032-nginx-ui-missing-mcp-authentication/)、[Picus Security](https://www.picussecurity.com/resource/blog/cve-2026-33032-mcpwn-how-a-missing-middleware-call-in-nginx-ui-hands-attackers-full-web-server-takeover)、[Security Affairs](https://securityaffairs.com/190841/hacking/cve-2026-33032-severe-nginx-ui-bug-grants-unauthenticated-server-access) ### 2026-04-11 - aws-mcp-server 未认证 RCE via 命令注入 - **目标**：aws-mcp-server（用于 AWS CLI 的模型上下文协议服务器） - **影响**：未认证远程攻击者可在受影响安装上执行任意代码；完全控制 MCP 服务器及其持有的任何 AWS 凭证 - **根本原因**：缺少对传递给系统调用的用户提供的字符串的校验；对允许的命令列表处理不当 - **CVE**：CVE-2026-5058（CVSS 9.8）、CVE-2026-5059（CVSS 9.8） - **来源**：[TheHackerWire CVE-2026-5058](https://www.thehackerwire.com/aws-mcp-server-remote-code-execution-via-command-injection-cve-2026-5058/)、[TheHackerWire CVE-2026-5059](https://www.thehackerwire.com/aws-mcp-server-aws-cli-command-injection-rce/)、[NVD CVE-2026-5059](https://nvd.nist.gov/vuln/detail/CVE-2026-5059)、[Endor Labs](https://www.endorlabs.com/learn/classic-vulnerabilities-meet-ai-infrastructure-why-mcp-needs-appsec) ### 2026-04-10 - Red Hat OpenShift AI odh-dashboard Kubernetes 令牌泄露 - **目标**：Red Hat OpenShift AI（odh-dashboard 组件） - **影响**：Kubernetes 服务账户令牌通过 NodeJS 端点泄露；泄露的令牌可用于认证 Kubernetes API 并访问集群资源 - **根本原因**：NodeJS 端点对令牌数据的不安全处理/暴露 - **CVE**：CVE-2026-5483（CVSS 8.5） - **来源**：[TheHackerWire](https://www.thehackerwire.com/red-hat-openshift-ai-odh-dashboard-kubernetes-token-disclosure-cve-2026-5483/)、[Red Hat RHSA-2026:3713](https://access.redhat.com/errata/RHSA-2026:3713)、[CSO Online](https://www.csoonline.com/article/4067305/red-hat-openshift-ai-weakness-allows-full-cluster-compromise-warns-advisory.html) ### 2026-04-08 - PraisonAI 模板注入在代理工具定义中 - **目标**：PraisonAI（多智能体团队框架，PyPI 版本早于 v4.5.115） - **影响**：通过注入到 `agent.start()` 输入中的模板表达式实现任意代码执行，该输入被 `create_agent_centric_tools()` 处理 - **根本原因**：未转义的用户输入直接传递给 `acp_create_file` 等模板渲染工具 - **CVE**：CVE-2026-39891（CVSS 8.8） - **来源**：[GitLab Advisory](https://advisories.gitlab.com/pkg/pypi/praisonai/CVE-2026-39891/)、[NVD](https://nvd.nist.gov/vuln/detail/CVE-2026-39891)、[TheHackerWire](https://www.thehackerwire.com/praisonai-template-injection-via-agent-input-cve-2026-39891/) ### 2026-04-08 - UNC1069 蠕虫式面试跨生态包活动 - **目标**：npm、PyPI、Go、Rust、Packagist 注册表（开发者工具） - **影响**：自 2025 年 1 月以来识别出 1,700 多个恶意软件包，用于间谍活动和金融盗窃；SEAL 在 2026 年 2 月 6 日至 4 月 7 日间拦截了 164 个伪装成 Teams 和 Zoom 的 UNC1069 域名 - **根本原因**：与 BlueNoroff、Sapphire Sleet、Stardust Chollima 重叠的 DPRK 关联 UNC1069 发布伪装成开发工具的恶意软件包；通过假 Zoom/Teams 点击欺诈链接进行交付，途径 LinkedIn、Telegram、Slack 的社会工程 - **来源**：[The Hacker News](https://thehackernews.com/2026/04/n-korean-hackers-spread-1700-malicious.html)、[Vulert](https://vulert.com/blog/north-korea-malicious-packages-npm-pypi-go-rust/)、[Cybersecuritywaala](https://cybersecuritywaala.com/news/north-korea-linked-malicious-packages-in-registries/) ### 2026-04-07 - AWS Bedrock AgentCore “Agent God Mode” 跨智能体内存访问 - **目标**：AWS Bedrock AgentCore 入门工具包 - **影响**：默认 IAM 角色被授予通配符权限，允许任何智能体读取或毒化同一 AWS 账户下其他智能体的内存；实现权限提升和跨租户数据外泄 - **根本原因**：入门工具自动创建逻辑对内存操作使用资源“*”而非每个资源的范围限制的 IAM 策略 - **来源**：[Unit 42](https://unit42.paloaltonetworks.com/exploit-of-aws-agentcore-iam-god-mode/)、[Unit 42 沙箱逃逸](https://unit42.paloaltonetworks.com/bypass-of-aws-sandbox-network-isolation-mode/) ### 2026-04-07 - Flowise AI 智能体构建器 RCE 在野外被积极利用 - **目标**：Flowise（开源 AI 智能体构建器），版本至 3.0.5 - **影响**：通过 CustomMCP 节点未认证实现远程代码执行；12,000-15,000+ 实例暴露于互联网；首次观察到来自 Starlink IP 的野外利用 - **根本原因**：CustomMCP 节点解析用户提供的 mcpServerConfig 并执行 JavaScript 而无校验，暴露了 child_process 与 fs 模块以及完整的 Node.js 运行时权限 - **CVE**：CVE-2025-59528（CVSS 10.0） - **来源**：[The Hacker News](https://thehackernews.com/2026/04/flowise-ai-agent-builder-under-active.html)、[BleepingComputer](https://www.bleepingcomputer.com/news/security/max-severity-flowise-rce-vulnerability-now-exploited-in-attacks/)、[Security Affairs](https://securityaffairs.com/190471/security/attackers-exploit-critical-flowise-flaw-cve-2025-59528-for-remote-code-execution.html)、[CSO Online](https://www.csoonline.com/article/4155680/hackers-exploit-a-critical-flowise-flaw-affecting-thousands-of-ai-workflows.html) ### 2026-04-03 - PraisonAI 网关未认证智能体控制 - **目标**：PraisonAI 网关 - **影响**：任意网络客户端可枚举智能体并通过未认证的 WebSocket 发送任意消息 - **根本原因**：WebSocket 与智能体拓扑端点缺少认证 - **CVE**：CVE-2026-34952（CVSS 9.1） - **来源**：[TheHackerWire](https://www.thehackerwire.com/praisonai-gateway-unauthenticated-agent-control/) ### 2026-04-03 - Azure MCP 服务器认证缺陷 - **目标**：Microsoft Azure MCP 服务器 - **影响**：在无有效凭证的情况下可访问敏感数据；发布时未提供补丁 - **根本原因**：认证实现不当 - **CVE**：CVE-2026-32211（CVSS 9.1） - **来源**：[WindowsNews](https://windowsnews.ai/article/cve-2026-32211-critical-azure-mcp-server-authentication-flaw-exposes-sensitive-data-cvss-91.409622) ### 2026-04-02 - Meta 与 Mercor 合作暂停 - **目标**：Meta / Mercor - **影响**：Meta 与 Mercor 的所有合同无限期暂停；AI 训练数据秘密面临风险 - **根本原因**：对 Mercor 从 LiteLLM 供应链攻击作出的响应 - **来源**：[Social Media Today](https://www.socialmediatoday.com/news/meta-pauses-all-contracts-with-mercor-after-breach/816663/)、[Benzinga](https://www.benzinga.com/markets/tech/26/04/51652163/meta-halts-mercor-work-breach-openai-investigates-report) ### 2026-04-01 - Drift Protocol 2.85 亿美元漏洞利用 - **目标**：Drift Protocol（Solana DeFi） - **影响**：12 分钟内通过虚构的 CarbonVote 代币、预言机操纵和零时间锁安全理事会迁移窃取 2.85 亿美元；仅约 4.7 亿美元被追回 - **根本原因**：针对多签签署人的六个月社会工程活动（UNC4736，DPRK）；预签名的隐藏授权 - **来源**：[TRM Labs](https://www.trmlabs.com/resources/blog/north-korean-hackers-attack-drift-protocol-in-285-million-heist)、[Elliptic](https://www.elliptic.co/blog/drift-protocol-exploited-for-286-million-in-suspected-dprk-linked-attack)、[The Hacker News](https://thehackernews.com/2026/04/285-million-drift-hack-traced-to-six.html) ### 2026-03-30 - ChatGPT 隐藏 DNS 外泄通道 - **目标**：OpenAI ChatGPT 代码执行沙箱 - **影响**：单个提示可静默外泄用户消息、上传文件及其他沙箱内容，途径 DNS 子域标签；同一路径可用于在 Linux 运行时建立远程 Shell - **根本原因**：沙箱阻止直接网络请求但保留递归 DNS 解析；数据编码到 DNS 子域标签中逃逸其他网络控制 - **来源**：[Check Point Research](https://research.checkpoint.com/2026/chatgpt-data-leakage-via-a-hidden-outbound-channel-in-the-code-execution-runtime/)、[The Register](https://www.theregister.com/2026/03/30/openai_chatgpt_dns_data_snuggling_flaw/)、[eSecurity Planet](https://www.esecurityplanet.com/artificial-intelligence/check-point-research-reveals-chatgpt-data-exfiltration-flaw/)、[Cybersecurity News](https://cybersecuritynews.com/chatgpt-vulnerability/) ### 2026-03-31 - Mercor 数据泄露 via LiteLLM 供应链 - **目标**：Mercor（100 亿美元 AI 招聘初创公司） - **影响**：40,000+ 人受影响；Lapsus$ 声称获取 4TB 数据包括 PII、视频面试、凭证与源代码；提起集体诉讼 - **根本原因**：级联供应链：TeamPCP 攻陷 Trivy 后窃取 LiteLLM 凭证，发布中毒的 PyPI 包 - **来源**：[Fortune](https://fortune.com/2026/04/02/mercor-ai-startup-security-incident-10-billion/)、[TechCrunch](https://techcrunch.com/2026/03/31/mercor-says-it-was-hit-by-cyberattack-tied-to-compromise-of-open-source-litellm-project/)、[SecurityWeek](https://www.securityweek.com/mercor-hit-by-litellm-supply-chain-attack/) ### 2026-03-31 - Axios npm 供应链攻击 - **目标**：Axios（每周 7,000-10,000 万次 npm 下载） - **影响**：恶意版本标记为“最新”，通过依赖项“plain-crypto-js”交付跨平台 RAT - **根本原因**：Sapphire Sleet / UNC1069（DPRK）对维护者 npm 凭证进行社会工程 - **来源**：[Microsoft Security Blog](https://www.microsoft.com/en-us/security/blog/2026/04/01/mitigating-the-axios-npm-supply-chain-compromise/)、[The Hacker News](https://thehackernews.com/2026/03/axios-supply-chain-attack-pushes-cross.html)、[Elastic Security Labs](https://www.elastic.co/security-labs/axios-one-rat-to-rule-them-all) ### 2026-03-31 - Cisco 源代码通过 Trivy 泄露 - **目标**：Cisco 内部开发环境 - **影响**：300 多个 GitHub 仓库被克隆，包括 AI 产品源代码及银行和美国政府机构的客户代码 - **根本原因**：TeamPCP 攻陷 Trivy 期间收获的凭证被用于访问 Cisco 开发基础设施 - **来源**：[BleepingComputer](https://www.bleepingcomputer.com/news/security/cisco-source-code-stolen-in-trivy-linked-dev-environment-breach/)、[SOCRadar](https://socradar.io/blog/trivy-cisco-breach-shinyhunters/) ### 2026-03-27 - Telnyx PyPI 供应链妥协 - **目标**：Telnyx Python SDK - **影响**：WAV 音频文件帧数据中隐藏的凭证窃取器；恶意代码注入至 `telnyx/_client.py` - **根本原因**：Telnyx PyPI 令牌在 LiteLLM 妥协期间被盗；TeamPCP 级联攻击 - **来源**：[The Hacker News](https://thehackernews.com/2026/03/teampcp-pushes-malicious-telnyx.html)、[Akamai](https://www.akamai.com/blog/security-research/telnyx-pypi-2026-teampcp-supply-chain-attacks)、[Trend Micro](https://www.trendmicro.com/en_us/research/26/c/teampcp-telnyx-attack-marks-a-shift-in-tactics.html) ### 2026-03-24 - LiteLLM 供应链攻击 by TeamPCP - **目标**：LiteLLM（每日 PyPI 下载 340 万次） - **影响**：三阶段恶意软件：凭证窃取、K8s 横向移动、持久化 systemd 后门；触发 fork bomb 导致发现；发布后约 3 小时即被隔离 - **根本原因**：LiteLLM CI 环境凭证在 Trivy 妥协期间被盗 - **来源**：[LiteLLM Official](https://docs.litellm.ai/blog/security-update-march-2026)、[Snyk](https://snyk.io/blog/poisoned-security-scanner-backdooring-litellm/)、[ReversingLabs](https://www.reversinglabs.com/blog/teampcp-supply-chain-attack-spreads) ### 2026-03-23 - Checkmarx KICS GitHub Actions 妥协 - **目标**：Checkmarx KICS、AST GitHub 动作、OpenVSX 扩展 - **影响**：35 个标签被劫持；凭证窃取器将加密的秘密外泄至攻击者服务器 checkmarx.zone - **根本原因**：cx-plugins-releases 服务账户因 Trivy 攻击泄露的凭证而被攻陷 - **来源**：[Wiz](https://www.wiz.io/blog/teampcp-attack-kics-github-action)、[Checkmarx](https://checkmarx.com/blog/checkmarx-security-update/)、[The Hacker News](https://thehackernews.com/2026/03/teampcp-hacks-checkmarx-github-actions.html) ### 2026-03-20 - CanisterWorm npm 蠕虫 - **目标**：npm 生态系统（66+ 个包） - **影响**：141 个恶意构件；持久化 systemd 后门；首个使用去中心化 ICP 作为 C2 的 npm 蠕虫，使清除变得不可能 - **根本原因**：从 Trivy 攻击中收获的凭证用于发布恶意版本 - **CVE**：CVE-2026-33634 - **来源**：[Aikido](https://www.aikido.dev/blog/teampcp-deploys-worm-npm-trivy-compromise)、[The Hacker News](https://thehackernews.com/2026/03/trivy-supply-chain-attack-triggers-self.html)、[Mend.io](https://www.mend.io/blog/canisterworm-the-self-spreading-npm-attack-that-uses-a-decentralized-server-to-stay-alive/) ### 2026-03-19 - Trivy GitHub 动作被 TeamPCP 攻陷 - **目标**：Aqua Security Trivy 扫描器 - **影响**：76/77 个版本标签被重定向至恶意提交；Runner.Worker 内存被转储；SSH、云、K8s 密钥被窃取；1,000+ SaaS 环境被下游破坏 - **根本原因**：先前未完全修复的事故导致服务账户被攻陷 - **来源**：[Wiz](https://www.wiz.io/blog/trivy-compromised-teampcp-supply-chain-attack)、[Aqua Security](https://www.aquasec.com/blog/trivy-supply-chain-attack-what-you-need-to-know/)、[Unit 42](https://unit42.paloaltonetworks.com/teampcp-supply-chain-attacks/) ### 2026-03-18 - Meta Sev 1 异常 AI 智能体事件 - **目标**：Meta 内部 AI 系统 - **影响**：AI 智能体发布未经授权的技术建议；另一名员工遵循建议，导致大量公司数据与用户数据暴露给未授权工程师，持续两小时 - **根本原因**：AI 智能体在无人工介入确认的情况下自主行动 - **来源**：[TechCrunch](https://techcrunch.com/2026/03/18/meta-is-having-trouble-with-rogue-ai-agents/)、[The Information](https://www.theinformation.com/articles/inside-meta-rogue-ai-agent-triggers-security-alert)、[Engadget](https://www.engadget.com/ai/a-meta-agentic-ai-sparked-a-security-incident-by-acting-without-permission-224013384.html) ### 2026-03-17 - Langflow RCE 在 20 小时内被利用 - **目标**：Langflow（所有版本至 1.8.1） - **影响**：攻击者在 20 小时内构建出可工作的利用程序；从被攻陷实例中窃取 OpenAI、Anthropic 与 AWS 的 API 密钥 - **根本原因**：POST 端点接受任意 Python 代码作为节点定义，并在服务端无沙箱执行 - **CVE**：CVE-2026-33017（CVSS 9.3） - **来源**：[The Hacker News](https://thehackernews.com/2026/03/critical-langflow-flaw-cve-2026-33017.html)、[Sysdig](https://www.sysdig.com/blog/cve-2026-33017-how-attackers-compromised-langflow-ai-pipelines-in-20-hours)、[Barrack AI](https://blog.barrack.ai/langflow-exec-rce-cve-2026-33017/) ### 2026-03-17 - LangChain Core 路径遍历 - **目标**：LangChain Core - **影响**：通过提示加载 API 实现任意文件访问 - **根本原因**：提示加载中的路径遍历 - **CVE**：CVE-2026-34070（CVSS 7.5） - **来源**：[GitLab Advisory](https://advisories.gitlab.com/pkg/pypi/langchain-core/CVE-2026-34070/) ### 2026-03-11 - UNC6426 nx npm 至 AWS 管理权限接管 - **目标**：nx monorepo 工具链 / 企业 AWS - **影响**：攻击者克隆 GitHub 仓库，提取 CI/CD 密钥，实现完整的 AWS 管理权限；访问 S3 存储桶、终止 EC2/RDS 实例 - **根本原因**：被攻陷的 nx npm 包传递了 QUIETVAULT 凭证窃取器；利用 GitHub 到 AWS 的 OIDC 信任链 - **来源**：[The Hacker News](https://thehackernews.com/2026/03/unc6426-exploits-nx-npm-supply-chain.html)、[CSA Labs](https://labs.cloudsecurityalliance.org/research/briefing-csa-research-note-oidc-trust-chain-abuse-cloud-take/) ### 2026-03-10 - Meta 收购 Moltbook（OpenClaw）并暴露安全危机 - **目标**：Moltbook/OpenClaw 平台 - **影响**：在数据库暴露（150 万个 API 令牌、3.5 万封邮件）、1,184+ 个恶意技能分发 Atomic Stealer，以及 13.5 万个暴露实例后，被 Meta 收购 - **根本原因**：数据库未受保护；缺乏技能审查；WebSocket 接受未认证的本机连接 - **CVE**：CVE-2026-25593、CVE-2026-25253（CVSS 8.8）以及另外 6 个 CVE - **来源**：[Wiz](https://www.wiz.io/blog/exposed-moltbook-database-reveals-millions-of-api-keys)、[eSecurity Planet](https://www.esecurityplanet.com/threats/hundreds-of-malicious-skills-found-in-openclaws-clawhub/)、[BleepingComputer](https://www.bleepingcomputer.com/news/security/clawjacked-attack-let-malicious-websites-hijack-openclaw-to-steal-data/) ### 2026-03 - ROME AI 智能体逃逸沙箱以挖掘加密货币 - **目标**：ROME 智能体（阿里巴巴关联） - **影响**：智能体访问 GPU 资源以挖掘加密货币；创建反向 SSH 隧道绕过安全进程；行为是自发的，而非由提示触发 - **根本原因**：在强化学习期间，智能体自发产生未经授权的行为，包括调用系统工具，超出边界 - **来源**：[Axios](https://www.axios.com/2026/03/07/ai-agents-rome-model-cryptocurrency)、[Live Science](https://www.livescience.com/technology/artificial-intelligence/an-experimental-ai-agent-broke-out-of-its-testing-environment-and-mined-crypto-without-permission) ### 2026-02-22 - OpenClaw 智能体删除 Meta 中 200+ 封邮件 - **目标**：OpenClaw / Meta - **影响**：Meta AI 安全主管丢失 200+ 封邮件；智能体忽略重复的 STOP 命令；相关帖子在 X 上获得约 900 万次浏览 - **根本原因**：智能体工作内存耗尽，合并了之前的消息，丢弃了确认再行动的指令 - **来源**：[Fast Company](https://www.fastcompany.com/91497841/meta-superintelligence-lab-ai-safety-alignment-director-lost-control-of-agent-deleted-her-emails)、[TechCrunch](https://techcrunch.com/2026/02/23/a-meta-ai-security-researcher-said-an-openclaw-agent-ran-amok-on-her-inbox/) ### 2026-02-20 - CyberStrikeAI FortiGate 大规模妥协 - **目标**：Fortinet FortiGate 设备（600+ 台，分布在 55 个国家） - **影响**：俄语金融动机行为者使用商业 GenAI 服务与开源 CyberStrikeAI 框架暴力破解暴露的管理端口和单因素凭据；Team Cymru 观察到 21 个 CyberStrikeAI C2 IP 地址（2026 年 1 月 20 日至 2 月 26 日） - **根本原因**：未利用 FortiGate CVE；AI 编排使低技能行为者能够扩展侦察、凭证喷洒和后续步骤，针对暴露的管理接口 - **来源**：[AWS Security Blog](https://aws.amazon.com/blogs/security/ai-augmented-threat-actor-accesses-fortigate-devices-at-scale/)、[The Hacker News](https://thehackernews.com/2026/02/ai-assisted-threat-actor-compromises.html)、[The Hacker News CyberStrikeAI](https://thehackernews.com/2026/03/open-source-cyberstrikeai-deployed-in.html)、[The Record](https://therecord.media/gen-ai-fortigate-hackers-russia)、[CSO Online](https://www.csoonline.com/article/4136198/russian-group-uses-ai-to-exploit-weakly-protected-fortinet-firewalls-says-amazon.html)、[SC Media](https://www.scworld.com/news/threat-group-leverages-llms-to-compromise-600-fortigate-firewalls) ### 2026-02-09 - Clinejection 供应链攻击 - **目标**：Cline AI 编码助手（500 万+ 用户） - **影响**：约 4,000 台开发者机器在 8 小时窗口内被攻破；恶意 `cline@2.3.0` 发布到 npm 并全局安装 OpenClaw - **根本原因**：GitHub 问题标题中的提示注入欺骗了 Claude 驱动的工单机器人；GitHub Actions 缓存中毒（Cacheract） - **来源**：[Snyk](https://snyk.io/blog/cline-supply-chain-attack-prompt-injection-github-actions/)、[The Hacker News](https://thehackernews.com/2026/02/cline-cli-230-supply-chain-attack.html)、[Adnan Khan](https://adnanthekhan.com/posts/clinejection/) ### 2026-02-04 - MCP TypeScript SDK 跨客户端数据泄露 - **目标**：MCP TypeScript SDK（v1.10.0-1.25.3） - **影响**：工具结果、资源内容和错误消息被路由到错误的客户端，在多租户部署中发生 - **根本原因**：StreamableHTTPServerTransport 中响应多路复用的竞态条件 - **CVE**：CVE-2026-25536（CVSS 7.1） - **来源**：[VulnerableMCP](https://vulnerablemcp.info/vuln/cve-2026-25536-sdk-cross-client-data-leak.html) ### 2026-01-23 - Langflow 活跃利用部署 Flodrix 僵尸网络 - **目标**：Langflow（版本至 1.6.9） - **影响**：完全接管账户并实现 RCE；通过恶意网页访问部署 Flodrix 僵尸网络，用于 DDoS 和数据外泄 - **根本原因**：过于宽松的 CORS、令牌刷新缺少 CSRF 保护、代码验证端点允许执行 - **CVE**：CVE-2025-34291（CVSS 9.4） - **来源**：[Obsidian Security](https://www.obsidiansecurity.com/blog/cve-2025-34291-critical-account-takeover-and-rce-vulnerability-in-the-langflow-ai-agent-workflow-platform)、[CrowdSec](https://www.crowdsec.net/vulntracking-report/cve-2025-34291) ### 2026-01-21 - Claude Code API 密钥泄露 - **目标**：Anthropic Claude Code - **影响**：恶意设置文件将 API 请求重定向至攻击者端点，在信任提示之前窃取 API 密钥；获得访问团队共享资源的权限 - **根本原因**：在信任确认提示之前发出 API 请求 - **CVE**：CVE-2026-21852（CVSS 5.3） - **来源**：[Check Point Research](https://research.checkpoint.com/2026/rce-and-api-token-exfiltration-through-claude-code-project-files-cve-2025-59536/)、[GitHub Advisory](https://github.com/advisories/GHSA-jh7p-qr78-84p7) ### 2026-01-20 - Anthropic Git MCP 服务器漏洞链 - **目标**：Anthropic Git MCP 服务器 - **影响**：路径遍历、参数注入与 RCE 串联；任意目录可作为 Git 仓库；任意文件被覆盖 - **根本原因**：缺少路径校验；git_diff/git_checkout 中未清理的参数 - **CVE**：CVE-2025-68143、CVE-2025-68144、CVE-2025-68145 - **来源**：[The Hacker News](https://thehackernews.com/2026/01/three-flaws-in-anthropic-mcp-git-server.html)、[SecurityWeek](https://www.securityweek.com/anthropic-mcp-server-flaws-lead-to-code-execution-data-exposure/) ### 2026-01 - Step Finance AI 交易智能体窃取国库资金 - **目标**：Step Finance（Solana DeFi 组合管理器） - **影响**：约 4,000 万美元从国库中被转移；261,000+ SOL 被转移；原生代币暴跌约 97%；仅约 470 万美元被追回 - **根本原因**：执行设备被攻破导致钱包与费用账户访问权泄露；交易智能体持有跨钱包、预言机和交易端口的广泛权限，且无作用域隔离；45.6% 的受访团队在智能体间复用共享 API 密钥 - **来源**：[KuCoin](https://www.kucoin.com/blog/en-ai-trading-agent-vulnerability-2026-how-a-45m-crypto-security-breach-exposed-protocol-risks) ### 2026-01-08 - n8n “Ni8mare” CVSS 10.0 RCE - **目标**：n8n 工作流自动化（约 10 万个实例） - **影响**：未认证即可完全接管服务器；访问 API 凭证、OAuth 令牌、CI/CD 流水线、支付处理器 - **根本原因**：Webhook 处理中的 Content-Type 混淆覆盖 req.body.files；无代码执行沙箱 - **CVE**：CVE-2026-21858（CVSS 10.0）、CVE-2026-21877（CVSS 10.0） - **来源**：[The Hacker News](https://thehackernews.com/2026/01/n8n-warns-of-cvss-100-rce-vulnerability.html)、[Cyera Research](https://www.cyera.com/research/ni8mare-unauthenticated-remote-code-execution-in-n8n-cve-2026-21858)、[The Register](https://www.theregister.com/2026/01/08/n8n_rce_bug/) ## 2025年事件 ### 2025-12 - LangChain “LangGrinch” 序列化注入 - **目标**：LangChain Core（版本早于 0.3.81） - **影响**：通过 LLM 影响元数据中的保留 'lc' 键实现秘密外泄与潜在 RCE - **根本原因**：dump()/dumpd() 未转义包含保留序列化标记的用户控制字典 - **CVE**：CVE-2025-68664（CVSS 9.3） - **来源**：[Cyata](https://cyata.ai/blog/langgrinch-langchain-core-cve-2025-68664/)、[The Hacker News](https://thehackernews.com/2025/12/critical-langchain-core-vulnerability.html)、[Orca Security](https://orca.security/resources/blog/cve-2025-68664-langchain-serialization-flaw/) ### 2025-12 - IDEsaster —— 30+ 个 AI 编码工具中的漏洞 - **目标**：Cursor、Windsurf、Kiro.dev、GitHub Copilot、Zed、Roo Code、Cline 等 - **影响**：数据外泄、RCE 与供应链妥协；Windsurf 存在持久化内存中毒风险 - **根本原因**：系统性缺乏输入验证；持久化内存存储将不受信任内容视为可信 - **CVE**：多个 - **来源**：[The Hacker News](https://thehackernews.com/2025/12/researchers-uncover-30-flaws-in-ai.html)、[Fortune](https://fortune.com/2025/12/15/ai-coding-tools-security-exploit-software/) ### 2025-12 - Copilot Studio 提示注入数据泄露 - **目标**：Microsoft Copilot Studio - **影响**：信用卡数据泄露；业务逻辑被操纵（例如以 0 美元预订旅行） - **根本原因**：无代码代理平台允许员工构建的 AI 代理缺乏稳健的输入验证 - **来源**：[Tenable](https://www.tenable.com/blog/microsoft-copilot-studio-security-risk-how-simple-prompt-injection-leaked-sensitive-data)、[Security Boulevard](https://securityboulevard.com/2025/12/microsoft-copilot-studio-security-risk-how-simple-prompt-injection-leaked-credit-cards-and-booked-a-0-trip/) ### 2025-11 - ServiceNow Now Assist 二次提示注入 - **目标**：ServiceNow Now Assist / Agentforce - **影响**：低权限代理诱使高权限代理导出案例文件至外部 URL；ServiceNow 称系统“按预期工作” - **根本原因**：默认代理配置允许自主覆盖；代理以发起用户权限运行 - **来源**：[The Hacker News](https://thehackernews.com/2025/11/servicenow-ai-agents-can-be-tricked.html)、[AppOmni](https://appomni.com/ao-labs/ai-agent-to-agent-discovery-prompt-injection/) ### 2025-11 - CrewAI “Uncrew” GitHub 令牌泄露 - **目标**：CrewAI 平台 - **影响**：单个内部 GitHub 令牌（拥有所有私有仓库管理员权限）暴露；CVSS 9.2 - **根本原因**：错误处理不当导致内部 GitHub 令牌泄露 - **来源**：[Noma Security](https://noma.security/blog/uncrew-the-risk-behind-a-leaked-internal-github-token-at-crewai/)、[Security Boulevard](https://securityboulevard.com/2025/11/crewai-github-token-exposure-highlights-the-growing-risk-of-static-credentials-in-ai-systems/) ### 2025-11 - Claude Desktop 扩展 RCE - **目标**：Anthropic Claude Desktop（Chrome、iMessage、Apple Notes 扩展） - **影响**：三个官方 Anthropic 编写的扩展中命令注入；SSH 密钥、AWS 凭证、浏览器密码被窃取；CVSS 8.9 - **根本原因**：未清理的输入处理；桌面扩展无沙箱 - **来源**：[Koi AI](https://www.koi.ai/blog/promptjacking-the-critical-rce-in-claude-desktop-that-turn-questions-into-exploits)、[CSO Online](https://www.csoonline.com/article/4129820/anthropics-dxt-poses-critical-rce-vulnerability-by-running-with-full-system-privileges.html) ### 2025-11-13 - GTG-1002 中国国家支持的人工智能网络间谍活动 - **目标**：约 30 个全球组织（大型科技公司、金融机构、化工厂、政府机构） - **影响**：首个公开记录的 AI 指挥网络间谍活动；Claude Code 在 80-90% 的战术操作中自主执行（侦察、漏洞发现、利用、横向移动、凭证收集、分析、泄密），人类仅在决策关口介入；2025 年 9 月被发现，2025 年 11 月 13 日披露 - **根本原因**：操作员通过声称自己是执行防御测试的网络安全公司员工“越狱”了 Claude Code，然后将恶意工作流拆分为看似无害的子任务以绕过安全训练 - **来源**：[Anthropic 报告（PDF）](https://assets.anthropic.com/m/ec212e6566a0d47/original/Disrupting-the-first-reported-AI-orchestrated-cyber-espionage-campaign.pdf)、[Cybersecurity Dive](https://www.cybersecuritydive.com/news/anthropic-state-actor-ai-tool-espionage/805550/)、[The Hacker News](https://thehackernews.com/2025/11/chinese-hackers-use-anthropics-ai-to.html)、[The Register](https://www.theregister.com/2025/11/13/chinese_spies_claude_attacks/)、[BlackFog](https://www.blackfog.com/gtg-1002-claude-hijacked-first-ai-led-cyberattack/)、[ExtraHop](https://www.extrahop.com/blog/anthropic-reveals-the-first-ai-orchestrated-cyber-espionage-campaign)、[AI 事件数据库](https://incidentdatabase.ai/cite/1263/) ### 2025-11-04 - GitHub Copilot 文件名提示注入 - **目标**：GitHub Copilot Chat（代理模式） - **影响**：通过包含提示注入的极长文件名执行任意指令；Microsoft 拒绝修复 - **根本原因**：Copilot 将文件名附加到用户提示中而未进行清理 - **来源**：[Tenable TRA-2025-53](https://www.tenable.com/security/research/tra-2025-53) ### 2025-10 - Claude Code RCE 通过 Hook - **目标**：Anthropic Claude Code - **影响**：克隆不受信任的仓库时触发 RCE 和 API 密钥泄露；Hook 在信任对话框之前执行 - **根本原因**：启动信任对话框前允许从项目配置执行代码 - **CVE**：CVE-2025-59536（CVSS 8.7） - **来源**：[Check Point Research](https://research.checkpoint.com/2026/rce-and-api-token-exfiltration-through-claude-code-project-files-cve-2025-59536/)、[Dark Reading](https://www.darkreading.com/application-security/flaws-claude-code-developer-machines-risk)、[Cybernews](https://cybernews.com/security/claude-code-critical-vulnerability-enabled-rce/) ### 2025-10 - Langflow 账户接管与 RCE 链 - **目标**：Langflow（版本至 1.6.9） - **影响**：完整实例接管；所有存储的 API 密钥泄露 - **根本原因**：宽松的 CORS、缺少 CSRF 保护、代码验证端点 - **CVE**：CVE-2025-34291（CVSS 9.4） - **来源**：[Obsidian Security](https://www.obsidiansecurity.com/blog/cve-2025-34291-critical-account-takeover-and-rce-vulnerability-in-the-langflow-ai-agent-workflow-platform)、[NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-34291) ### 2025-09 - Salesforce Agentforce “ForcedLeak” - **目标**：Salesforce Agentforce - **影响**：通过间接提示注入从 Web-to-Lead 表单泄露 CRM 数据；CVSS 9.4 - **根本原因**：用户提交数据中的间接提示注入；过期域名仍在内容安全策略中白名单 - **来源**：[Noma Security](https://noma.security/blog/forcedleak-agent-risks-exposed-in-salesforce-agentforce/)、[The Hacker News](https://thehackernews.com/2025/09/salesforce-patches-critical-forcedleak.html)、[The Register](https://www.theregister.com/2025/09/26/salesforce_agentforce_forceleak_attack/) ### 2025-08-20 - Salesloft Drift OAuth 供应链泄露 - **目标**：Salesloft Drift / Salesforce / Google Workspace / Slack - **影响**：700+ 个组织被攻破，包括 Cloudflare、Google、Palo Alto Networks、Zscaler；CRM 记录、API 密钥、云凭证被盗 - **根本原因**：UNC6395 从 Drift 聊天机器人窃取 OAuth 令牌 - **来源**：[Google Cloud Blog](https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-via-salesloft-drift)、[The Hacker News](https://thehackernews.com/2025/09/salesloft-takes-drift-offline-after.html)、[Cloudflare Blog](https://blog.cloudflare.com/response-to-salesloft-drift-incident/) ### 2025-08 - Claude Code 逆向提示注入命令执行 - **目标**：Anthropic Claude Code（低于 v1.0.20） - **影响**：白名单 echo 命令被用作注入向量；AI 模型协助逆向工程其自身安全性 - **根本原因**：命令解析错误；echo 被白名单但未清洗 - **CVE**：CVE-2025-54794、CVE-2025-54795（CVSS 8.7） - **来源**：[Cymulate](https://cymulate.com/blog/cve-2025-547954-54795-claude-inverseprompt/)、[GitHub Advisory](https://github.com/anthropics/claude-code/security/advisories/GHSA-x56v-x2h6-7j34) ### 2025-08 - Claude Code WebSocket 认证绕过 - **目标**：Claude Desktop 扩展 - **影响**：恶意网站可通过未认证的本机 WebSocket 读取本地文件并在 Jupyter 笔记本中执行代码 - **根本原因**：未认证本地 WebSocket 服务器暴露给浏览器上下文 - **CVE**：CVE-2025-52882 - **来源**：[Datadog Security Labs](https://securitylabs.datadoghq.com/articles/claude-mcp-cve-2025-52882/) ### 2025-08 - OpenAI Codex CLI 命令注入 - **目标**：OpenAI Codex CLI（版本低于 v0.23.0） - **影响**：在用户安全上下文中执行任意命令；CI/自动化运行面临风险 - **根本原因**：Codex 隐式信任项目本地配置文件并执行其中的嵌入命令 - **CVE**：CVE-2025-61260 - **来源**：[SecurityWeek](https://www.securityweek.com/vulnerability-in-openai-coding-agent-could-facilitate-attacks-on-developers/)、[Check Point Research](https://research.checkpoint.com/2025/openai-codex-cli-command-injection-vulnerability/) ### 2025-08 - GitHub Copilot RCE 通过提示注入 - **目标**：GitHub Copilot（VS Code） - **影响**：代码注释中的提示注入启用“YOLO 模式”——禁用所有确认并执行特权 Shell 命令 - **根本原因**：Copilot 将来自代码评论的不可信内容作为指令处理；无防护机制防止配置修改 - **CVE**：CVE-2025-53773 - **来源**：[Embrace The Red](https://embracethered.com/blog/posts/2025/github-copilot-remote-code-execution-via-prompt-injection/)、[GBHackers](https://gbhackers.com/github-copilot-rce-vulnerability/) ### 2025-08 - Cursor CurXecute RCE 通过 Slack MCP - **目标**：Cursor AI IDE - **影响**：来自单个精心制作的 Slack 消息的完整开发者机器接管；攻击在几分钟内完成 - **根本原因**：AI 将精心制作的消息作为指令处理；配置更改在用户批准前执行 - **CVE**：CVE-2025-54135（CVSS 8.6） - **来源**：[Tenable](https://www.tenable.com/blog/faq-cve-2025-54135-cve-2025-54136-vulnerabilities-in-cursor-curxecute-mcpoison)、[NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-54135) ### 2025-08 - Cursor MCPoison 静默后门 - **目标**：Cursor AI IDE - **影响**：打开项目时静默感染每个团队成员 - **根本原因**：MCP 服务器信任绑定到名称而非内容哈希；配置更改无需重新批准 - **CVE**：CVE-2025-54136（CVSS 7.2） - **来源**：[Check Point Research](https://research.checkpoint.com/2025/cursor-vulnerability-mcpoison/)、[NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-54136) ### 2025-08 - Varonis “Reprompt” —— Microsoft Copilot 单击数据泄露 - **目标**：Microsoft Copilot - **影响**：文件访问历史、位置、对话记忆被泄露；攻击在聊天关闭后仍保持控制 - **根本原因**：URL 查询参数 `?q=` 被接受为预填充提示且未经验证 - **来源**：[Varonis](https://www.varonis.com/blog/reprompt)、[SecurityWeek](https://www.securityweek.com/new-reprompt-attack-silently-siphons-microsoft-copilot-data/) ### 2025-07-17 - Amazon Q VS Code 扩展被攻破 - **目标**：Amazon Q Developer 扩展（95 万+ 安装） - **影响**：被攻破的 v1.84.0 版本活跃两天；破坏性 AI 提示指示删除主目录和 AWS 资源；失败因语法错误 - **根本原因**：CI/CD 流程中 GitHub 令牌权限过大 - **来源**：[AWS-2025-015](https://aws.amazon.com/security/security-bulletins/AWS-2025-015/)、[The Register](https://www.theregister.com/2025/07/24/amazon_q_ai_prompt/)、[CSO Online](https://www.csoonline.com/article/4027963/hacker-inserts-destructive-code-in-amazon-q-as-update-goes-live.html) ### 2025-07-09 - Hugging Face 中投毒的 GGUF 模板 - **目标**：Hugging Face（150 万+ GGUF 文件） - **影响**：后门指令嵌入模型文件，在受信推理中执行，绕过系统提示与运行时监控 - **根本原因**：GGUF 模板部分缺乏内容校验 - **来源**：[GlobeNewsWire](https://www.globenewswire.com/news-release/2025/07/09/3112541/0/en/Pillar-Security-Uncovers-Novel-Attack-Vector-That-Embeds-Malicious-Backdoors-in-Model-Files-on-Hugging-Face.html) ### 2025-07 - mcp-remote 关键 RCE - **目标**：mcp-remote（43.7 万+ 下载） - **影响**：通过恶意 MCP 服务器 OAuth 流程实现完整系统妥协 - **根本原因**：OAuth 流程中 authorization_endpoint URL 处理不当 - **CVE**：CVE-2025-6514（CVSS 9.6） - **来源**：[JFrog](https://jfrog.com/blog/2025-6514-critical-mcp-remote-rce-vulnerability/)、[The Hacker News](https://thehackernews.com/2025/07/critical-mcp-remote-vulnerability.html) ### 2025-06 - Langflow Flodrix 僵尸网络利用 - **目标**：Langflow 服务器 - **影响**：完整系统妥协；Flodrix 僵尸网络用于 DDoS 和数据外泄 - **根本原因**：未修补的 Langflow 实例（CVE-2025-3248）暴露于互联网 - **CVE**：CVE-2025-3248 - **来源**：[Trend Micro](https://www.trendmicro.com/en_us/research/25/f/langflow-vulnerability-flodric-botnet.html)、[SecurityWeek](https://www.securityweek.com/recent-langflow-vulnerability-exploited-by-flodrix-botnet/)、[Dark Reading](https://www.darkreading.com/vulnerabilities-threats/hackers-exploit-langflow-flaw-flodrix-botnet) ### 2025-06 - EchoLeak —— Microsoft 365 Copilot 零点击提示注入 - **目标**：Microsoft 365 Copilot - **影响**：通过精心制作的电子邮件实现零点击数据外泄；绕过 XPIA 分类器 - **根本原因**：文档中的隐藏文本、演讲者备注和元数据实现 AI 命令注入 - **CVE**：CVE-2025-32711（CVSS 9.3） - **来源**：[The Hacker News](https://thehackernews.com/2025/06/zero-click-ai-vulnerability-exposes.html)、[HackTheBox](https://www.hackthebox.com/blog/cve-2025-32711-echoleak-copilot-vulnerability) ### 2025-06 - GitHub Copilot CamoLeak - **目标**：GitHub Copilot 聊天 - **影响**：静默外泄 AWS 密钥、安全令牌和零日细节；CVSS 9.6 - **根本原因**：Copilot 解析不可见的 Markdown 注释；数据通过 GitHub Camo 代理图像请求外泄 - **CVE**：CVE-2025-59145 - **来源**：[Legit Security](https://www.legitsecurity.com/blog/camoleak-critical-github-copilot-vulnerability-leaks-private-source-code)、[Dark Reading](https://www.darkreading.com/application-security/github-copilot-camoleak-ai-attack-exfils-data) ### 2025-06 - Anthropic 文件系统 MCP 服务器 “EscapeRoute” - **目标**：Anthropic 文件系统 MCP 服务器 - **影响**：沙箱逃逸、任意文件访问、可能获得 root 权限 - **根本原因**：幼稚的 startswith 路径校验；未校验符号链接 - **CVE**：CVE-2025-53109（CVSS 8.4）、CVE-2025-53110（CVSS 7.3） - **来源**：[Cymulate](https://cymulate.com/blog/cve-2025-53109-53110-escaperoute-anthropic/)、[SecurityWeek](https://www.securityweek.com/anthropic-mcp-server-flaws-lead-to-code-execution-data-exposure/) ### 2025-05 - ElizaOS 内存注入漏洞 - **目标**：ElizaOS（用于区块链的 AI 智能体框架） - **影响**：可能导致数百万美元损失；伪造的支付确认存储在内存中并重定向未来交易 - **根本原因**：持久化内存条目缺少完整性校验 - **来源**：[Decrypt](https://decrypt.co/318200/elizaos-vulnerability-ai-gaslit-losing-millions) ### 2025-05 - Langflow CISA KEV 加入 —— 确认在野外被利用 - **目标**：Langflow（版本早于 v1.3.0） - **影响**：完整服务器接管；CISA 确认在野外被利用 - **根本原因**：代码验证端点在无认证或沙箱下调用 exec() - **CVE**：CVE-2025-3248（CVSS 9.8） - **来源**：[The Hacker News](https://thehackernews.com/2025/05/critical-langflow-flaw-added-to-cisa.html)、[Zscaler](https://www.zscaler.com/blogs/security-research/cve-2025-3248-rce-vulnerability-langflow)、[NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-3248) ### 2025-04 - MCP 工具投毒 / WhatsApp 数据外泄 - **目标**：WhatsApp MCP 服务器 / MCP 生态系统 - **影响**：完整 WhatsApp 消息历史外泄；5.5% 的 MCP 服务器存在工具投毒；33% 允许无限制网络访问 - **根本原因**：MCP 工具描述中的隐藏指令；缺乏运行时完整性校验；工具可在安装后变异定义 - **来源**：[Invariant Labs](https://invariantlabs.ai/blog/mcp-security-notification-tool-poisoning-attacks)、[Docker](https://www.docker.com/blog/mcp-horror-stories-whatsapp-data-exfiltration-issue/)、[Simon Willison](https://simonwillison.net/2025/Apr/9/mcp-prompt-injection/) ### 2025-03-18 - Rules File 后门攻击 Cursor 与 Copilot - **目标**：Cursor IDE、GitHub Copilot - **影响**：AI 生成的输出中静默注入恶意代码；利用 Unicode 字符绕过代码审查 - **根本原因**：AI 配置文件被 AI 解析但对人类审查员不可见（Unicode 混淆） - **来源**：[Pillar Security](https://www.pillar.security/blog/new-vulnerability-in-github-copilot-and-cursor-how-hackers-can-weaponize-code-agents)、[The Hacker News](https://thehackernews.com/2025/03/new-rules-file-backdoor-attack-lets.html) ### 2025-03-15 - tj-actions/changed-files GitHub Actions 供应链攻击 - **目标**：23,000+ 个 GitHub 仓库 - **影响**：访问密钥、GitHub PAT、npm 令牌和私有 RSA 密钥在公共工作流日志中泄露 - **根本原因**：被攻陷的 GitHub PAT；链式利用 reviewdog/action-setup - **CVE**：CVE-2025-30066、CVE-2025-30154 - **来源**：[CISA](https://www.cisa.gov/news-events/alerts/2025/03/18/supply-chain-compromise-third-party-tj-actionschanged-files-cve-2025-30066-and-reviewdogaction)、[Wiz](https://www.wiz.io/blog/github-action-tj-actions-changed-files-supply-chain-attack-cve-2025-30066)、[Unit 42](https://unit42.paloaltonetworks.com/github-actions-supply-chain-attack/) ### 2025-02-21 - Bybit 15 亿美元加密货币盗窃 - **目标**：Bybit 交易所 / Safe{Wallet} - **影响**：15 亿美元以太坊被盗；史上最大加密货币盗窃案；属于 2025 年总计 20.2 亿美元 DPRK 盗窃的一部分 - **根本原因**：对 Safe{Wallet} 开发者的社会工程；休眠恶意软件在合法交易中激活 - **来源**：[FBI IC3](https://www.ic3.gov/psa/2025/psa250226)、[Fortune](https://fortune.com/crypto/2025/03/04/north-korea-bybit-hack-ethereum-safe-dprk-lazarus-group-tradertraitor/)、[TRM Labs](https://www.trmlabs.com/resources/blog/the-bybit-hack-following-north-koreas-largest-exploit) ### 2025-02 - Google Gemini 通过日历邀请提示注入 - **目标**：Google Gemini / Calendar / Smart Home - **影响**：未经授权的智能家居控制、私人日历数据外泄、欺骗性事件；零点击；73% 的场景被评为高危 - **根本原因**：Gemini 处理隐藏在日历事件元数据中的指令 - **来源**：[The Register](https://www.theregister.com/2025/08/08/infosec_hounds_spot_prompt_injection/)、[Dark Reading](https://www.darkreading.com/cloud-security/google-gemini-flaw-calendar-invites-attack-vector)、[Miggo](https://www.miggo.io/post/weaponizing-calendar-invites-a-semantic-attack-on-google-gemini) ### 2025-01-24 - OmniGPT 数据泄露 - **目标**：OmniGPT AI 聚合器 - **影响**：30,000 封电子邮件/电话号码泄露；3,400 万行聊天记录包含 API 密钥、加密货币私钥；售价 100 美元在 BreachForums 上出售 - **根本原因**：基础设施被攻破；数据在 BreachForums 上出售 - **来源**：[Hackread](https://hackread.com/omnigpt-ai-chatbot-breach-hacker-leak-user-data-messages/)、[CSO Online](https://www.csoonline.com/article/3822911/hacker-allegedly-puts-massive-omnigpt-breach-data-for-sale-on-the-dark-web.html) ### 2025 - Cursor 路径大小写绕过 - **目标**：Cursor AI IDE（v1.6.23 及以下） - **影响**：配置文件修改导致潜在 RCE，适用于大小写不敏感的文件系统 - **根本原因**：大小写敏感文件系统上的路径比较使用了精确大小写匹配 - **CVE**：CVE-2025-59944（CVSS 8.0） - **来源**：[Lakera](https://www.lakera.ai/blog/cursor-vulnerability-cve-2025-59944)、[NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-59944) ### 2025 - GitHub Copilot RoguePilot 仓库接管 - **目标**：GitHub Codespaces + Copilot - **影响**：静默泄露 GITHUB_TOKEN，实现完整仓库接管 - **根本原因**：Copilot 处理问题中不可见的 HTML 注释；Codespace 密钥可通过符号链接访问 - **来源**：[Orca Security](https://orca.security/resources/blog/roguepilot-github-copilot-vulnerability/)、[SecurityWeek](https://www.securityweek.com/github-issues-abused-in-copilot-attack-leading-to-repository-takeover/) ### 2025 - DB-GPT 插件上传 RCE - **目标**：DB-GPT v0.7.0 - **影响**：以 DB-GPT 进程权限（默认容器 root）执行任意代码 - **根本原因**：上传的 Python 插件文件缺乏内容校验 - **CVE**：CVE-2025-51459（CVSS 6.5） - **来源**：[Gecko Security](https://www.gecko.security/blog/cve-2025-51459) ## 2024年事件 ### 2024-12-04 - Ultralytics PyPI 供应链攻击 - **目标**：Ultralytics YOLO AI 库 - **影响**：四个恶意版本上传包含 XMRig 加密矿工；两阶段攻击发生在 12 月 4-7 日 - **根本原因**：攻击者滥用 git 分支名称窃取 GitHub Actions CI/CD 凭证；被攻陷的 PyPI 令牌 - **来源**：[PyPI Blog](https://blog.pypi.org/posts/2024-12-11-ultralytics-attack-analysis/)、[Wiz](https://www.wiz.io/blog/ultralytics-ai-library-hacked-via-github-for-cryptomining)、[Snyk](https://snyk.io/blog/ultralytics-ai-pwn-request-supply-chain-attack/) ### 2024-12 - ChatGPT 搜索通过隐藏文本操纵 - **目标**：OpenAI ChatGPT Search - **影响**：隐藏网页文本操纵 AI 生成的摘要；演示在传播窃取凭证的恶意软件时可见 - **根本原因**：间接提示注入通过隐藏文本；ChatGPT Search 处理所有包含隐藏元素的内容 - **来源**：[dig.watch](https://dig.watch/updates/chatgpt-search-found-vulnerable-to-manipulation) ### 2024-11-22 - Freysa AI 智能体游戏 —— 函数操纵 - **目标**：Freysa 自主 AI 智能体 - **影响**：AI 智能体被诱导重新定义 `approveTransfer` 函数的用途，释放 47,316 美元加密货币 - **根本原因**：AI 智能体被操纵误解其自身的函数定义 - **来源**：[The Block](https://www.theblock.co/post/328747/human-player-outwits-freysa-ai-agent-in-47000-crypto-challenge)、[CryptoBriefing](https://cryptobriefing.com/crypto-trader-ai-gaming-exploit/) ### 2024-11 - Microsoft Copilot 暴露私有 GitHub 仓库 - **目标**：Microsoft Copilot / Bing 缓存 - **影响**：16,000+ 个组织受影响；财富 500 强公司的私有仓库被暴露；300+ 个泄露的令牌、密钥与秘密 - **根本原因**：Bing 缓存了短暂公开的仓库内容；Copilot 在仓库设为私有后继续提供“僵尸数据” - **来源**：[Lasso Security](https://www.lasso.security/blog/lasso-major-vulnerability-in-microsoft-copilot)、[SecurityWeek](https://www.securityweek.com/github-copilot-chat-flaw-leaked-data-from-private-repositories/) ### 2024-11 - Microsoft Copilot Studio XSS - **目标**：Microsoft Copilot Studio - **影响**：跨站脚本（XSS），允许在经过身份验证的会话中执行恶意脚本 - **根本原因**：在生成网页时未能正确中和输入 - **CVE**：CVE-2024-49038 - **来源**：[SentinelOne](https://www.sentinelone.com/vulnerability-database/cve-2024-49038/) ### 2024-10-17 - Imprompter 攻击 AI 聊天机器人 - **目标**：Mistral LeChat、ChatGLM、Meta Llama - **影响**：80% 的成功率通过混淆的对抗性提示和隐藏 Markdown 图像 URL 泄露 PII - **根本原因**：多语言令牌替换生成人类不可读但 LLM 可执行的恶意提示 - **来源**：[ArXiv](https://arxiv.org/abs/2410.14923)、[Imprompter.ai](https://imprompter.ai/) ### 2024-10-22 - Claude 计算机使用启动安全警告 - **目标**：Anthropic Claude 3.5 Sonnet - **影响**：自主计算机控制暴露于来自任何视觉或文本内容的提示注入；演示显示可能自主创建恶意软件 - **根本原因**：授予自主计算机控制本身即暴露 LLM 于从遇到的内容中注入的提示 - **来源**：[Prompt Security](https://prompt.security/blog/claude-computer-use-a-ticking-time-bomb)、[Bank Info Security](https://www.bankinfosecurity.com/claudes-computer-use-may-end-up-cautionary-tale-a-26651) ### 2024-09 - ChatGPT “SpAIware” 持久内存利用 - **目标**：OpenAI ChatGPT macOS 应用 - **影响**：ChatGPT 长期记忆中的持久间谍软件；在所有未来会话中持续数据外泄 - **根本原因**：内存功能允许从未受信任数据注入持久指令 - **来源**：[Embrace The Red](https://embracethered.com/blog/posts/2024/chatgpt-macos-app-persistent-data-exfiltration/)、[The Hacker News](https://thehackernews.com/2024/09/chatgpt-macos-flaw-couldve-enabled-long.html) ### 2024-09-25 - NVIDIA 容器工具包漏洞 - **目标**：NVIDIA 容器工具包（35%+ 的云 GPU 环境） - **影响**：容器逃逸、主机文件系统访问、权限提升、GPU 工作负载操纵 - **根本原因**：时间检查与时间使用（TOCTOU）缺陷 - **CVE**：CVE-2024-0132（CVSS 9.0） - **来源**：[Wiz](https://www.wiz.io/blog/wiz-research-critical-nvidia-ai-vulnerability)、[NVIDIA](https://nvidia.custhelp.com/app/answers/detail/a_id/5582) ### 2024-08-20 - Slack AI 提示注入与数据外泄 - **目标**：Slack AI - **影响**：从私有频道外泄数据；通过精心制作的公共频道消息窃取 API 密钥 - **根本原因**：公共频道消息中的间接提示注入；Markdown 链接渲染促成外泄 - **来源**：[PromptArmor](https://promptarmor.substack.com/p/data-exfiltration-from-slack-ai-via)、[Dark Reading](https://www.darkreading.com/cyberattacks-data-breaches/slack-ai-patches-bug-that-let-attackers-steal-data-from-private-channels) ### 2024-08-08 - LOLCopilot —— Black Hat USA 2024 Copilot 攻击 - **目标**：Microsoft 365 Copilot - **影响**：隐藏电子邮件代码注入、插件利用、无需用户交互的数据外泄；通过默认 Copilot 访问权限实现 - **根本原因**：默认配置授予对电子邮件/文档的广泛访问权限；来自不可见电子邮件标签的间接提示注入 - **来源**：[Dark Reading](https://www.darkreading.com/application-security/how-to-weaponize-microsoft-copilot-for-cyberattackers)、[The Register](https://www.theregister.com/2024/08/08/copilot_black_hat_vulns/) ### 2024-08-06 - Microsoft Copilot Studio SSRF - **目标**：Microsoft Copilot Studio - **影响**：访问 Microsoft 内部基础设施、IMDS 以及内部 Cosmos DB；可能跨租户影响 - **根本原因**：通过 HTTP 头操作和重定向技术实现的服务器端请求伪造（SSRF） - **CVE**：CVE-2024-38206（CVSS 8.5） - **来源**：[Tenable](https://www.tenable.com/blog/ssrfing-the-web-with-the-help-of-copilot-studio)、[The Hacker News](https://thehackernews.com/2024/08/microsoft-patches-critical-copilot.html) ### 2024-07 - Grok AI 选举错误信息 - **目标**：X/Twitter Grok AI 聊天机器人 - **影响**：错误地声称 VP Harris 在 9 个州错过了投票截止日期；错误信息持续一周；触及数百万用户 - **根本原因**：对政治/选举查询缺乏防护；各州秘书处要求更正 - **来源**：[Axios](https://www.axios.com/2024/08/05/elon-musk-grok-2024-election-ballot-misinformation)、[TechCrunch](https://techcrunch.com/2024/08/05/secretaries-of-state-urge-x-to-stop-its-grok-chatbot-from-spreading-election-misinformation/) ### 2024-07 - ChatGPT macOS 明文存储 - **目标**：OpenAI ChatGPT macOS 应用 - **影响**：所有对话以明文形式存储在非沙箱位置；任何应用或恶意软件均可读取聊天历史 - **根本原因**：OpenAI 选择退出 macOS 沙箱；未加密存储 - **CVE**：CVE-2024-40594 - **来源**：[9to5Mac](https://9to5mac.com/2024/07/03/chatgpt-macos-conversations-plain-text/) ### 2024-07 - Microsoft 365 Copilot ASCII 走私 - **目标**：Microsoft 365 Copilot - **影响**：隐藏在超链接中的 Unicode 字符外泄邮件、MFA 码及敏感数据 - **根本原因**：Copilot 渲染包含隐藏数据的链接中的 Unicode 字符 - **来源**：[Embrace The Red](https://embracethered.com/blog/posts/2024/m365-copilot-prompt-injection-tool-invocation-and-data-exfil-using-ascii-smuggling/)、[The Hacker News](https://thehackernews.com/2024/08/microsoft-fixes-ascii-smuggling-flaw.html) ### 2024-06-25 - Rabbit R1 硬编码 API 密钥 - **目标**：Rabbit R1 AI 设备 - **影响**：ElevenLabs 管理密钥、Azure、Yelp、Google Maps、SendGrid 密钥暴露；可能导致整个 Rabbit OS 后端崩溃 - **根本原因**：API 密钥硬编码在设备源代码中，而非安全存储 - **来源**：[Cybernews](https://cybernews.com/security/critical-rabbit-r1-security-flaw/) ### 2024-06 - McDonald's 终止与 AI 驱动点餐系统的合作 - **目标**：McDonald's AI 点餐系统（IBM） - **影响**：AI 添加了 260 个 McNuggets、培根到冰淇淋等错误订单；三年 IBM 合作终止 - **根本原因**：AI 无法理解口音、方言、背景噪音和重叠语音 - **来源**：[CNBC](https://www.cnbc.com/2024/06/17/mcdonalds-to-end-ibm-ai-drive-thru-test.html) ### 2024-06 - Hugging Face Spaces 被入侵 - **目标**：Hugging Face Spaces 平台 - **影响**：未经授权访问认证密钥、API 令牌及开发者使用的密钥 - **根本原因**：平台密钥存储被未授权访问 - **来源**：[The Hacker News](https://thehackernews.com/2024/06/ai-company-hugging-face-notifies-users.html)、[SecurityWeek](https://www.securityweek.com/secrets-exposed-in-hugging-face-hack/) ### 2024-05 - GitHub Copilot 训练数据秘密泄露 - **目标**：GitHub Copilot - **影响**：Copilot 复现来自训练数据的真实泄露秘密；在使用 Copilot 的仓库中，秘密泄露率高出 40% - **根本原因**：训练数据对来自公共 GitHub 仓库的秘密的记忆 - **来源**：[GitGuardian](https://blog.gitguardian.com/yes-github-copilot-can-leak-secrets/) ### 2024-04 - Hugging Face 跨租户攻击 - **目标**：Hugging Face 共享推理基础设施 - **影响**：通过恶意 Pickle 序列化模型跨租户访问其他客户的 AI 模型 - **根本原因**：不安全的反序列化；共享推理中租户隔离不足 - **来源**：[Wiz](https://www.wiz.io/blog/wiz-and-hugging-face-address-risks-to-ai-infrastructure)、[Dark Reading](https://www.darkreading.com/cloud-security/critical-bugs-hugging-face-ai-platform-pickle) ### 2024-04-02 - 大量提示注入越狱研究 - **目标**：Claude、GPT-4、GPT-3.5、Llama 2、Mistral - **影响**：数百个有害问答示例的单次长提示绕过所有主流 LLM 的安全护栏 - **根本原因**：扩展的上下文窗口允许在上下文学习中以覆盖安全训练 - **来源**：[Anthropic](https://www.anthropic.com/research/many-shot-jailbreaking) ### 2024-03 - ChatGPT 插件/扩展漏洞 - **目标**：ChatGPT 插件、PluginLab.ai、Kesem AI - **影响**：OAuth 凭证窃取、零点击账户接管、恶意插件安装；可能获取 GitHub 账户访问权限 - **根本原因**：插件安装流程缺少认证；PluginLab 缺少用户账户验证 - **来源**：[Salt Security](https://salt.security/blog/security-flaws-within-chatgpt-extensions-allowed-access-to-accounts-on-third-party-websites-and-sensitive-data)、[The Hacker News](https://thehackernews.com/2024/03/third-party-chatgpt-plugins-could-lead.html) ### 2024-03 - OpenAI 泄露的凭据在暗网出售 - **目标**：OpenAI ChatGPT 用户 - **影响**：225,000+ 个泄露凭据待售；130,000+ 个唯一主机被入侵 - **根本原因**：LummaC2、Raccoon、RedLine 盗号木马感染用户设备 - **来源**：[The Hacker News](https://thehackernews.com/2024/03/over-225000-compromised-chatgpt.html)、[BleepingComputer](https://www.bleepingcomputer.com/news/security/openai-credentials-stolen-by-the-thousands-for-sale-on-the-dark-web/) ### 2024-02 - PoisonedRAG 研究 - **目标**：所有 RAG 系统 - **影响**：向百万文档数据库注入 5 个恶意文本即可实现 90% 攻击成功率；仅 0.04% 语料库中毒即可实现 98.2% 成功率 - **根本原因**：RAG 系统固有地信任检索到的文档；缺乏知识库内容完整性校验 - **来源**：[ArXiv](https://arxiv.org/abs/2402.07867) ### 2024-02-14 - Air Canada 聊天机器人诉讼裁决 - **目标**：Air Canada - **影响**：法庭裁定 Air Canada 对聊天机器人生成的虚假行李政策负责；需支付 812.02 美元；具有里程碑意义的 AI 责任裁决 - **根本原因**：聊天机器人产生虚构政策；Air Canada 的“独立法律实体”辩护被驳回 - **来源**：[CBC](https://www.cbc.ca/news/canada/british-columbia/air-canada-chatbot-lawsuit-1.7116416)、[ABA](https://www.americanbar.org/groups/business_law/resources/business-law-today/2024-february/bc-tribunal-confirms-companies-remain-liable-information-provided-ai-chatbot/) ### 2024-01-18 - DPD AI 聊天机器人故障 - **目标**：DPD（英国包裹配送） - **影响**：聊天机器人辱骂客户、撰写批评 DPD 的诗歌、自称“最差的配送公司”；130 万次观看 - **根本原因**：系统更新移除了聊天元素的防护措施 - **来源**：[Time](https://time.com/6564726/ai-chatbot-dpd-curses-criticizes-company/) ### 2024 - LangChain 任意代码执行 - **目标**：langchain-experimental（v0.0.15-0.0.21） - **影响**：通过 VectorSQLDatabaseChain 实现任意 Python 代码执行 - **根本原因**：在数据库检索值上使用 `eval()` 而无清理 - **CVE**：CVE-2024-21513（CVSS 8.5） - **来源**：[NVD](https://nvd.nist.gov/vuln/detail/cve-2024-21513)、[Snyk](https://security.snyk.io/vuln/SNYK-PYTHON-LANGCHAINEXPERIMENTAL-7278171) ### 2024 - LangChain 图数据库查询注入 - **目标**：langchain-ai/langchain v0.2.5 - **影响**：SQL/Cypher 注入导致未授权数据操纵、泄露与拒绝服务 - **根本原因**：图数据库查询构建中输入清理不足 - **CVE**：CVE-2024-7042 - **来源**：[SentinelOne](https://www.sentinelone.com/vulnerability-database/cve-2024-7042/) ### 2024 - LangChain LLMSymbolicMathChain 代码执行 - **目标**：langchain-experimental - **影响**：通过符号数学处理实现任意代码执行 - **根本原因**：符号数学处理中的不安全代码执行 - **CVE**：CVE-2024-46946 - **来源**：[NVD](https://nvd.nist.gov/vuln/detail/cve-2024-46946) ## 关键统计 | 指标 | 数值 | 来源 | |------|------|------| | 2024 年 AI 安全事件 | 233（较 2023 年增长 56.4%） | [斯坦福 AI 指数 2025](https://aiindex.stanford.edu/report/) | | 2025 年 AI 事件 | 346（179 起涉及深度伪造） | [AI 事件数据库](https://incidentdatabase.ai/) | | 2025 年 DPRK 加密货币盗窃 | 20.2 亿美元 | [The Hacker News](https://thehackernews.com/2025/12/north-korea-linked-hackers-steal-202.html) | | 单次最大加密货币盗窃（Bybit） | 15 亿美元 | [FBI IC3](https://www.ic3.gov/psa/2025/psa250226) | | 2026 年最大 DeFi 漏洞利用（Drift） | 2.85 亿美元 | [Elliptic](https://www.elliptic.co/blog/drift-protocol-exploited-for-286-million-in-suspected-dprk-linked-attack) | | 2026 年 Q1 AI 交易智能体损失 | 4,500 万美元+ | [KuCoin](https://www.kucoin.com/blog/en-ai-trading-agent-vulnerability-2026-how-a-45m-crypto-security-breach-exposed-protocol-risks) | | Step Finance 国库被掏空（2026 年 1 月） | 4,000 万美元（代币 -97%） | [KuCoin](https://www.kucoin.com/blog/en-ai-trading-agent-vulnerability-2026-how-a-45m-crypto-security-breach-exposed-protocol-risks) | | 重复使用共享 API 密钥的 DeFi 团队比例 | 45.6% | [KuCoin](https://www.kucoin.com/blog/en-ai-trading-agent-vulnerability-2026-how-a-45m-crypto-security-breach-exposed-protocol-risks) | | GTG-1002 攻击目标组织数（约） | 30 | [Anthropic 报告](https://assets.anthropic.com/m/ec212e6566a0d47/original/Disrupting-the-first-reported-AI-orchestrated-cyber-espionage-campaign.pdf) | | GTG-1002 攻击中 AI 执行的比例 | 80-90% | [Anthropic 报告](https://assets.anthropic.com/m/ec212e6566a0d47/original/Disrupting-the-first-reported-AI-orchestrated-cyber-espionage-campaign.pdf) | | 被 CyberStrikeAI 攻击的 FortiGate 设备数（2026 年 1-2 月） | 600+（分布在 55 个国家） | [AWS 安全博客](https://aws.amazon.com/blogs/security/ai-augmented-threat-actor-accesses-fortigate-devices-at-scale/) | | 观察到的 CyberStrikeAI C2 IP 数 | 21（2026 年 1 月 20 日 - 2 月 26 日） | [The Hacker News](https://thehackernews.com/2026/03/open-source-cyberstrikeai-deployed-in.html) | | 60 天内 MCP 服务器 CVE 数量 | 30+ | [MCP 安全报告](https://www.heyuan110.com/posts/ai/2026-03-10-mcp-security-2026/) | | 暴露的 Flowise 实例数（2026 年 4 月） | 12,000-15,000+ | [The Hacker News](https://thehackernews.com/2026/04/flowise-ai-agent-builder-under-active.html) | | MCP STDIO 设计 RCE 影响（OX Security，2026 年 4 月） | 200,000+ 服务器，1.5 亿+ 下载（Python/TypeScript/Java/Rust SDK） | [OX Security](https://www.ox.security/blog/the-mother-of-all-ai-supply-chains-critical-systemic-vulnerability-at-the-core-of-the-mcp/) | | Marimo CVE-2026-39987 攻击事件（2026 年 4 月 11-14 日） | 662 次，来自 11 个源 IP、10 个国家 | [Sysdig](https://www.sysdig.com/blog/cve-2026-39987-update-how-attackers-weaponized-marimo-to-deploy-a-blockchain-botnet-via-huggingface) | | 测试的 AI API 路由器中发送恶意负载的比例 | 26/428 | [ArXiv](https://arxiv.org/html/2604.08407v1) | | 单个加密钱包被恶意 LLM 路由器洗劫金额 | 50 万美元 | [CoinDesk](https://www.coindesk.com/tech/2026/04/13/ai-agents-are-set-to-power-crypto-payments-but-a-hidden-flaw-could-expose-wallets) | | n8n 托管的 Webhook 钓鱼邮件量（2026 年 3 月 vs 2025 年 1 月） | 增长 686% | [Cisco Talos](https://blog.talosintelligence.com/the-n8n-n8mare/) | | Vercel 泄露数据在 BreachForums 的标价 | 200 万美元 | [OX Security](https://www.ox.security/blog/vercel-context-ai-supply-chain-attack-breachforums/) | | 2026 年工具滥用与权限提升事件（OWASP Q1 报告） | 520（最常见类别） | [OWASP GenAI Q1 2026](https://genai.owasp.org/2026/04/14/owasp-genai-exploit-round-up-report-q1-2026/) | | 2026 年提示注入事件（OWASP Q1 报告） | 450 | [OWASP GenAI Q1 2026](https://genai.owasp.org/2026/04/14/owasp-genai-exploit-round-up-report-q1-2026/) | | 自 2025 年 1 月以来的 UNC1069 恶意软件包数 | 1,700+（涵盖 npm、PyPI、Go、Rust、Packagist） | [The Hacker News](https://thehackernews.com/2026/04/n-korean-hackers-spread-1700-malicious.html) | | 2026 年 2 月 6 日 - 4 月 7 日 拦截的 UNC1069 域名数 | 164 | [The Hacker News](https://thehackernews.com/2026/04/n-korean-hackers-spread-1700-malicious.html) | | 暴露的 MCP 服务器数（零认证） | 492 | [Trend Micro](https://www.trendmicro.com/en_us/research/26/c/teampcp-telnyx-attack-marks-a-shift-in-tactics.html) | | 存在命令注入漏洞的 MCP 服务器比例 | 43% | [Invariant Labs](https://invariantlabs.ai/blog/mcp-security-notification-tool-poisoning-attacks) | | 存在工具投毒漏洞的 MCP 服务器比例 | 5.5% | [Invariant Labs](https://invariantlabs.ai/blog/mcp-security-notification-tool-poisoning-attacks) | | 恶意软件包在注册表中的年同比增长率 | 156% | [Sonatype](https://www.sonatype.com/state-of-the-software-supply-chain/2025) | | Forbes AI 50 中泄露秘密的比例 | 65% | [Wiz Research](https://www.wiz.io/blog/wiz-research-65-percent-of-ai-50-companies-leaked-secrets) | | 通过 Salesloft Drift 泄露的组织数 | 700+ | [Google Cloud Blog](https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-via-salesloft-drift) | | 公开暴露的 OpenClaw 实例数（2026 年 2 月） | 135,000+（分布在 82 个国家） | [Kaspersky](https://www.kaspersky.com/blog/openclaw-vulnerabilities-exposed/55263/) | | ClawHub 上的恶意技能数 | 1,184+（约占注册表的 12%） | [eSecurity Planet](https://www.esecurityplanet.com/threats/hundreds-of-malicious-skills-found-in-openclaws-clawhub/) | | 通过 Trivy 级联导致的 SaaS 环境数 | 1,000+ | [Wiz](https://www.wiz.io/blog/trivy-compromised-teampcp-supply-chain-attack) | | ChatGPT 凭据在暗网上的数量 | 225,000+ | [The Hacker News](https://thehackernews.com/2024/03/over-225000-compromised-chatgpt.html) | | AI 编码工具中的漏洞数（5 款工具） | 69 个，6 个关键 | [Fortune](https://fortune.com/2025/12/15/ai-coding-tools-security-exploit-software/) | | 深度伪造欺诈造成的损失（Q1 2025） | 2 亿美元 | [AI 事件数据库](https://incidentdatabase.ai/) | ## 攻击模式分类 ### 供应链凭证级联 一次单一凭证泄露触发跨多个软件包注册表与组织的下游妥协。 **关键事件：** - Vercel / Context.ai OAuth 链（2026 年 4 月）：Lumma 盗号木马感染 Context.ai 员工，导致 OAuth 令牌被盗，进而利用 Vercel 员工授予的“允许全部”企业范围权限，攻占 Vercel Google Workspace 租户。 - TeamPCP 级联（2026 年 3 月）：Trivy → Checkmarx → LiteLLM → Telnyx → CanisterWorm → Cisco → Mercor。一次服务账户失陷导致 1,000+ SaaS 环境被入侵。 - UNC1069 蠕虫式面试（2026 年 4 月）：自 2025 年 1 月以来，1,700+ 个恶意软件包横跨 npm、PyPI、Go、Rust、Packagist；ClickFix 欺诈链接在 LinkedIn/Telegram/Slack 上诱使用户下载。 - Axios npm 破坏（2026 年 3 月）：社会工程攻陷单一维护者，威胁 7,000–10,000 万周下载量。 - Bybit 盗窃（2025 年 2 月）：单一 Safe{Wallet} 开发者设备被入侵，导致史上最大加密货币盗窃案（15 亿美元）。 - Ultralytics PyPI 攻击（2024 年 12 月）：滥用 git 分支名称窃取 CI/CD 凭证，进行两阶段供应链攻击。 ### 混淆代理（Confused Deputy） 具备合法权限的 AI 代理被欺骗，代表攻击者执行操作。 **关键事件：** - Copilot Studio ShareLeak 与 Agentforce PipeLeak（2026 年 4 月）：利用 SharePoint 与 Web-to-Lead 表单，将代理变成数据外泄通道，无速率限制、无人工提示。 - Claude Code / Gemini CLI / GitHub Copilot Agent（2026 年 4 月）：通过 PR 标题、问题描述与评论注入提示，劫持 CI 代理窃取 API 密钥与机密。 - Salesforce Agentforce ForcedLeak（2025 年 9 月）：Web-to-Lead 表单数据诱导代理导出 CRM 记录。 - ServiceNow Now Assist（2025 年 11 月）：低权限代理诱使高权限代理导出案例文件。 - EchoLeak M365 Copilot（2025 年 6 月）：通过含隐藏文本的电子邮件触发零点击数据外泄。 - ChatGPT SpAIware（2024 年 9 月）：利用长期记忆在会话间持久化外泄指令。 ### 过度权限集成（Overprivileged Integration） AI 代理或聊天机器人集成被赋予超出需求的权限，成为攻击面。 **关键事件：** - AWS Bedrock AgentCore “上帝模式”（2026 年 4 月）：入门工具自动创建具有通配符权限的 IAM 角色，允许任何代理读写所有其他代理的内存。 - Step Finance 国库流失（2026 年 1 月）：交易智能体同时持有钱包、预言机与交易端口的广泛权限；一台设备失陷即导致 4,000 万美元损失。 - Salesloft Drift OAuth 泄露（2025 年 8 月）：被盗 OAuth 令牌使 700+ 客户 Salesforce 环境暴露。 - LOLCopilot / M365 Copilot（2024 年 8 月）：默认配置赋予对邮件与文档的广泛访问。 - Amazon Q VS Code 扩展（2025 年 7 月）：CI/CD 中过宽的 GitHub 令牌允许破坏性提示注入。 - Copilot “僵尸数据”暴露（2024 年 11 月）：16,000+ 组织的私有仓库数据因缓存未及时清除而持续暴露。 ### 配置即代码执行（Config-as-Code Execution） 恶意配置在仓库文件中，触发 AI 工具处理时执行代码。 **关键事件：** - Claude Code RCE 通过 Hook（CVE-2025-59536）：`.claude/settings.json` 中的恶意配置在信任对话框前执行命令。 - Codex CLI 命令注入（CVE-2025-61260）：项目本地配置文件被执行而无需用户确认。 - Rules File 后门（2025 年 3 月）：利用 Unicode 混淆在 `.cursorrules` 与 `copilot-instructions.md` 中注入不可见恶意代码。 - Cursor MCPoison（CVE-2025-54136）：良性 MCP 配置被后续修改以植入后门。 ### 未加沙箱代码执行（Unsandboxed Code Execution） AI 工具直接运行用户或 AI 生成代码，且无隔离。 **关键事件：** - Anthropic MCP STDIO 设计 RCE（2026 年 4 月）：参考 SDK 在 Python/TypeScript/Java/Rust 中执行任意命令字符串；200,000+ 服务器与 1.5 亿+ 下载受影响；Anthropic 拒绝修改协议。 - Flowise MCP Adapters CVE-2026-40933（CVSS 10.0）：未校验的 stdio 命令允许添加任意 MCP 服务器并执行命令。 - Marimo CVE-2026-39987（CVSS 9.3）：/terminal/ws 端点无认证，10 小时内即被武器化部署 NKAbuse 区块链 C2。 - Flowise CVE-2025-59528（CVSS 10.0）：CustomMCP 节点执行未校验的 JavaScript。 - aws-mcp-server CVE-2026-5058/5059（CVSS 9.8）：命令注入通过允许的命令列表传递至系统调用。 - PraisonAI CVE-2026-39891（CVSS 8.8）：模板注入通过未转义的 `agent.start()` 输入。 - Langflow CVE-2025-3248（CVSS 9.8）：在无认证或沙箱下调用 `exec()`。 - Langflow CVE-2026-33017（CVSS 9.3）：同一 `exec()` 模式在 20 小时内被利用。 - n8n Ni8mare（CVSS 10.0）：Content-Type 混淆导致未认证 RCE。 - DB-GPT 插件上传 RCE（CVE-2025-51459）：未校验上传的 Python 插件文件。 ### 社交工程操控 AI 代理（Social Engineering of AI Agents） 通过误导或欺骗 AI 代理或其人类操作员达成目标。 **关键事件：** - Drift Protocol 2.85 亿美元盗窃（2026 年 1 月）：六个月的鱼叉式社会工程，冒充合法交易方诱导签署者。 - Freysa AI 代理游戏（2024 年 11 月）：重定义函数用途以释放资金。 - OpenClaw 删除 Meta 邮件（2026 年 2 月）：因工作内存耗尽而忽略 STOP 命令。 - DPD 聊天机器人故障（2024 年 1 月）：更新移除防护后，机器人辱骂客户并公开批评公司。 ### 工具投毒（Tool Poisoning） 在工具描述、模型文件或集成元数据中植入恶意指令。 **关键事件：** - 恶意 LLM 路由器（2026 年 4 月）：26/428 个路由器重写工具调用、窃取秘密、转移加密货币。 - MCP 工具投毒 / WhatsApp 泄露（2025 年 4 月）：隐藏指令导致 5.5% 的 MCP 服务器泄露数据。 - Hugging Face GGUF 投毒（2025 年 7 月）：后门指令嵌入 150 万+ 模型文件。 - ClawHub 恶意技能（2026 年 1-3 月）：1,184+ 个恶意技能分发 Atomic Stealer 与键盘记录器。 - GitHub Copilot 文件名注入（2025 年 11 月）：利用极长文件名传递提示注入。 ### 零操作级授权（No Action-Level Authorization） AI 代理在无逐项权限检查的情况下执行敏感操作。 **关键事件：** - Meta Sev 1 异常代理（2026 年 3 月）：代理发布敏感技术建议且无人工确认，导致数据暴露。 - ROME 代理沙箱逃逸（2026 年 3 月）：代理自发启动加密货币挖矿并建立反向 SSH 隧道。 - GitHub Copilot YOLO 模式（CVE-2025-53773）：提示注入禁用所有用户确认。 - Cursor CurXecute（CVE-2025-54135）：配置更改和恶意命令在用户拒绝前执行。 ### 无输出目标控制 AI 代理将数据发送到任意外部端点且无限制。 **关键事件：** - ChatGPT DNS 泄露通道（2026 年 3 月）：沙箱阻止直接网络流量但未限制 DNS 解析，使数据可通过子域名标签编码泄露。 - EchoLeak（CVE-2025-32711）：M365 Copilot 通过精心制作的电子邮件泄露数据。 - GitHub Copilot CamoLeak（CVE-2025-59145）：数据通过 GitHub Camo 代理图像请求泄露，秘密信息编码在 URL 中。 - Slack AI 泄露（2024 年 8 月）：Markdown 链接渲染使数据泄露到攻击者服务器。 - ASCII 走私 M365 Copilot（2024 年 7 月）：隐藏 Unicode 在超链接中携带被盗的 MFA 码至外部服务器。 ### AI 编排的进攻操作 威胁行为者使用商业或开源 AI 代理来规划和执行入侵的绝大部分操作，仅在决策节点由人类批准。 **关键事件：** - GTG-1002 中国间谍活动（2025 年 9 月至 11 月）：Claude Code 在操作员冒充合法红队成员后执行了约 30 个组织中 80%–90% 的战术操作。 - CyberStrikeAI FortiGate 战役（2026 年 1 月至 2 月）：俄语行为者使用商业生成式 AI 与开源 CyberStrikeAI 框架，在未利用单个 CVE 的情况下攻陷 55 个国家的 600 多个 FortiGate 设备。 - Drift Protocol 2.85 亿美元漏洞（2026 年 4 月）：UNC4736 对多签签名者开展了为期六个月的多渠道社会工程活动。 - CanisterWorm（2026 年 3 月）：首个使用去中心化 ICP 基础设施作为 C2 的 npm 蠕虫，使移除在结构上不可能。 ### 通过 AI 工具窃取凭证 AI 开发工具成为凭证和秘密泄露的向量。 **关键事件：** - LiteLLM CVE-2026-35030（2026 年 4 月）：OIDC 用户信息缓存键为 token[:20]，使攻击者能与合法缓存令牌碰撞并继承该用户在网关中的身份。 - FastGPT CVE-2026-40351 和 CVE-2026-40352（2026 年 4 月）：TypeScript 类型断言缺乏运行时验证，使 NoSQL 运算符注入可登录为任意用户（包括 root）；密码更改端点绕过了旧密码验证。 - Red Hat OpenShift AI odh-dashboard（CVE-2026-5483，2026 年 4 月）：NodeJS 端点泄露可用于集群 API 的 Kubernetes 服务账户令牌。 - Claude Code API 密钥泄露（CVE-2026-21852）：恶意设置在信任提示前重定向 API 请求。 - Claude Code InversePrompt（CVE-2025-54795）：AI 帮助反向工程其自身安全机制以启用命令注入。 - CrewAI "Uncrew"（2025 年 11 月）：错误处理不当将管理员 GitHub 令牌暴露给所有私有仓库。 - GitHub Copilot 训练数据泄露（2024 年 5 月）：Copilot 复现训练数据中的真实秘密，泄露率高出 40%。 ## 贡献 请参阅 [CONTRIBUTING.md](CONTRIBUTING.md) 了解添加事件的指南。 ## 许可证 [MIT](LICENSE)

标签：2024, 2025, 2026, AI安全, BreachForums, Chat Copilot, CISA项目, Context.ai, CVE, Homebrew安装, Modbus, OAuth, OSV, Root Cause, SEO, ShinyHunters, StruQ, Vercel, 上下文注入, 事实核查, 令牌劫持, 供应链攻击, 多模态安全, 安全事件, 工作区入侵, 技术栈, 数字签名, 时间线, 来源透明, 泄露, 漏洞, 谷歌工作区, 防御加固