0x4D31/endpoint-ai-agent-abuse
GitHub: 0x4D31/endpoint-ai-agent-abuse
一个基于证据的端点 AI Agent 滥用攻击技术目录,记录攻击者如何通过运行时、配置、工具和继承权限等攻击面利用本地 Agent。
Stars: 26 | Forks: 0
# 端点 AI Agent 滥用 (EAA)
一个精心整理、基于证据划分范围的攻击技术目录,用于记录如何滥用端点上的 AI Agent。
EAA 追踪攻击者如何滥用本地 Agent——尤其是编程和开发者 Agent——将其作为执行、持久化、收集、数据窃取、防御规避以及继承权限的攻击面。其核心关注点在于 Agent 周边的端点行为:启动器与标志、环境与 provider 路由、指令、记忆、hooks、插件、skills、MCP、记录、遥测以及从本地用户继承的访问权限。
这不是一份通用的 AI 安全分类,也不声称每种技术都完全适用于所有产品。只有在官方文档、主要 artifact、安全事件或可复现研究支持的情况下,才会断定其适用于特定产品。信任网关、默认设置、操作系统和产品版本都是该断言的一部分。
## 从这里开始
- [`techniques/index.md`](techniques/index.md) — 主目录
- [`surfaces.md`](surfaces.md) — 技术作用的攻击面
- [`tactics.md`](tactics.md) — 威胁行为者的目标
- [`cases.md`](cases.md) — 程序级别的事件、artifact 和研究映射
- [`hunting.md`](hunting.md) — 包含遥测和局限性的检测与取证假设
- [`candidates.md`](candidates.md) — 低于晋升阈值的合理设想
- [`evidence.md`](evidence.md) — 成熟度、来源、结果和置信度规则
- [`data/catalog.json`](data/catalog.json) — 机器可读的目录
- [`data/catalog.schema.json`](data/catalog.schema.json) — 目录 schema
- [`CONTRIBUTING.md`](CONTRIBUTING.md) — 条目和来源要求
## 证据模型
技术的成熟度和证据来源是相互独立的:
- `feasible`(可行)— 权威来源确立了该攻击面以及针对特定 agent 的滥用路径,但尚无公开的实现;
- `demonstrated`(已演示)— 公开研究或恶意 artifact 实现了该技术;
- `observed`(已观测)— 安全事件上下文中的案例证实了所界定的攻击者行为已被植入、执行,或产生了确认的影响。对于植入型技术,这并不意味着后续已被激活。
案例会单独记录某个程序是已存在、被植入、被尝试、被执行,还是产生了确认的影响。一项 `observed`(已观测)的技术并不意味着每个引用的 artifact 都成功执行了,或者每个报告的下游影响都已得到证实。有关完整规则,请参阅 [`evidence.md`](evidence.md)。
## 技术
| ID | 技术 | 主要攻击面 | 战术 | 成熟度 |
|---|---|---|---|---|
| [EAA-001](techniques/index.md#eaa-001--agent-cli-invocation-by-adversary-controlled-initiator) | 由对手控制发起者的 Agent CLI 调用 | Launcher | Execution | demonstrated |
| [EAA-002](techniques/index.md#eaa-002--permissive-or-unattended-agent-execution) | 宽松或无人值守的 Agent 执行 | Launcher | Execution | demonstrated |
| [EAA-003](techniques/index.md#eaa-003--lifecycle-hook-planting) | 生命周期 Hook 植入 | Control Plane | Execution, Persistence | observed |
| [EAA-004](techniques/index.md#eaa-004--persistent-instruction-or-memory-poisoning) | 持久化指令或记忆投毒 | Control Plane | Persistence | observed |
| [EAA-005](techniques/index.md#eaa-005--transcript-and-agent-state-collection) | 记录和 Agent 状态收集 | State & Telemetry | Credential Access, Collection | observed |
| [EAA-006](techniques/index.md#eaa-006--mcp-or-tool-configuration-abuse) | MCP 或工具配置滥用 | Tools & Integrations | Execution, Persistence | demonstrated |
| [EAA-007](techniques/index.md#eaa-007--hostile-modelapi-gateway-routing) | 恶意 model/API 网关路由 | Runtime & Environment | Collection, Exfiltration | demonstrated |
| [EAA-008](techniques/index.md#eaa-008--shadow-agent-profile-or-config-directory) | 影子 Agent 配置文件或配置目录 | Runtime & Environment | Execution, Defense Evasion | demonstrated |
| [EAA-009](techniques/index.md#eaa-009--remote-plugin-sideload-or-marketplace-installation) | 远程插件侧载或市场安装 | Control Plane | Execution, Persistence | feasible |
| [EAA-010](techniques/index.md#eaa-010--mcp-tool-poisoning-or-definition-drift) | MCP 工具投毒或定义漂移 | Tools & Integrations | Execution, Collection, Exfiltration | demonstrated |
| [EAA-011](techniques/index.md#eaa-011--environment-variable-manipulation-of-mcp-activation) | 针对 MCP 激活的环境变量篡改 | Tools & Integrations | Execution | feasible |
| [EAA-012](techniques/index.md#eaa-012--telemetry-redirection-or-sensitive-logging) | 遥测重定向或敏感日志记录 | State & Telemetry | Execution, Collection, Exfiltration | demonstrated |
| [EAA-013](techniques/index.md#eaa-013--cloud-hosted-skill-poisoning-and-sync) | 云端托管 Skill 投毒与同步 | Control Plane | Execution, Persistence | feasible |
| [EAA-014](techniques/index.md#eaa-014--cross-agent-control-plane-fan-out-planting) | 跨 Agent 控制平面扇出植入 | Control Plane | Persistence | observed |
| [EAA-015](techniques/index.md#eaa-015--inherited-authority-abuse) | 继承权限滥用 | Identity & Authority | Execution, Collection, Exfiltration | observed |
| [EAA-016](techniques/index.md#eaa-016--agent-environment-discovery) | Agent 环境发现 | Runtime & Environment | Discovery | demonstrated |
| [EAA-017](techniques/index.md#eaa-017--agent-native-evidence-tampering) | Agent 原生证据篡改 | State & Telemetry | Defense Evasion | observed |
## 验证
在提交更改之前,请运行无依赖验证器:
```
python3 scripts/validate.py
```
它会验证结构化目录,并交叉检查 ID、元数据、关系、规范案例映射、案例、攻击面、战术、候选条目、版本以及本地链接。通过的结果仅确认结构的一致性,而不代表外部来源的真实性;仍需要对具体断言进行来源审查。
## 版本控制
当前目录版本:**0.2.1**。
对于分类法、攻击面、证据或命名更改,请提升次要版本号。对于不改变模型的措辞修正、来源更新和新示例,使用修订版本号即可。
## 许可证
基于 [CC0 1.0 Universal](LICENSE) 发布。
标签:AI代理安全, AI安全, Chat Copilot, Homebrew安装, HTTP工具, Web报告查看器, 威胁情报, 开发者工具, 攻击技术, 端点安全, 红队知识库, 补丁管理, 逆向工具, 防御加固