0x4D31/endpoint-ai-agent-abuse

GitHub: 0x4D31/endpoint-ai-agent-abuse

一个基于证据的端点 AI Agent 滥用攻击技术目录,记录攻击者如何通过运行时、配置、工具和继承权限等攻击面利用本地 Agent。

Stars: 26 | Forks: 0

# 端点 AI Agent 滥用 (EAA) 一个精心整理、基于证据划分范围的攻击技术目录,用于记录如何滥用端点上的 AI Agent。 EAA 追踪攻击者如何滥用本地 Agent——尤其是编程和开发者 Agent——将其作为执行、持久化、收集、数据窃取、防御规避以及继承权限的攻击面。其核心关注点在于 Agent 周边的端点行为:启动器与标志、环境与 provider 路由、指令、记忆、hooks、插件、skills、MCP、记录、遥测以及从本地用户继承的访问权限。 这不是一份通用的 AI 安全分类,也不声称每种技术都完全适用于所有产品。只有在官方文档、主要 artifact、安全事件或可复现研究支持的情况下,才会断定其适用于特定产品。信任网关、默认设置、操作系统和产品版本都是该断言的一部分。 ## 从这里开始 - [`techniques/index.md`](techniques/index.md) — 主目录 - [`surfaces.md`](surfaces.md) — 技术作用的攻击面 - [`tactics.md`](tactics.md) — 威胁行为者的目标 - [`cases.md`](cases.md) — 程序级别的事件、artifact 和研究映射 - [`hunting.md`](hunting.md) — 包含遥测和局限性的检测与取证假设 - [`candidates.md`](candidates.md) — 低于晋升阈值的合理设想 - [`evidence.md`](evidence.md) — 成熟度、来源、结果和置信度规则 - [`data/catalog.json`](data/catalog.json) — 机器可读的目录 - [`data/catalog.schema.json`](data/catalog.schema.json) — 目录 schema - [`CONTRIBUTING.md`](CONTRIBUTING.md) — 条目和来源要求 ## 证据模型 技术的成熟度和证据来源是相互独立的: - `feasible`(可行)— 权威来源确立了该攻击面以及针对特定 agent 的滥用路径,但尚无公开的实现; - `demonstrated`(已演示)— 公开研究或恶意 artifact 实现了该技术; - `observed`(已观测)— 安全事件上下文中的案例证实了所界定的攻击者行为已被植入、执行,或产生了确认的影响。对于植入型技术,这并不意味着后续已被激活。 案例会单独记录某个程序是已存在、被植入、被尝试、被执行,还是产生了确认的影响。一项 `observed`(已观测)的技术并不意味着每个引用的 artifact 都成功执行了,或者每个报告的下游影响都已得到证实。有关完整规则,请参阅 [`evidence.md`](evidence.md)。 ## 技术 | ID | 技术 | 主要攻击面 | 战术 | 成熟度 | |---|---|---|---|---| | [EAA-001](techniques/index.md#eaa-001--agent-cli-invocation-by-adversary-controlled-initiator) | 由对手控制发起者的 Agent CLI 调用 | Launcher | Execution | demonstrated | | [EAA-002](techniques/index.md#eaa-002--permissive-or-unattended-agent-execution) | 宽松或无人值守的 Agent 执行 | Launcher | Execution | demonstrated | | [EAA-003](techniques/index.md#eaa-003--lifecycle-hook-planting) | 生命周期 Hook 植入 | Control Plane | Execution, Persistence | observed | | [EAA-004](techniques/index.md#eaa-004--persistent-instruction-or-memory-poisoning) | 持久化指令或记忆投毒 | Control Plane | Persistence | observed | | [EAA-005](techniques/index.md#eaa-005--transcript-and-agent-state-collection) | 记录和 Agent 状态收集 | State & Telemetry | Credential Access, Collection | observed | | [EAA-006](techniques/index.md#eaa-006--mcp-or-tool-configuration-abuse) | MCP 或工具配置滥用 | Tools & Integrations | Execution, Persistence | demonstrated | | [EAA-007](techniques/index.md#eaa-007--hostile-modelapi-gateway-routing) | 恶意 model/API 网关路由 | Runtime & Environment | Collection, Exfiltration | demonstrated | | [EAA-008](techniques/index.md#eaa-008--shadow-agent-profile-or-config-directory) | 影子 Agent 配置文件或配置目录 | Runtime & Environment | Execution, Defense Evasion | demonstrated | | [EAA-009](techniques/index.md#eaa-009--remote-plugin-sideload-or-marketplace-installation) | 远程插件侧载或市场安装 | Control Plane | Execution, Persistence | feasible | | [EAA-010](techniques/index.md#eaa-010--mcp-tool-poisoning-or-definition-drift) | MCP 工具投毒或定义漂移 | Tools & Integrations | Execution, Collection, Exfiltration | demonstrated | | [EAA-011](techniques/index.md#eaa-011--environment-variable-manipulation-of-mcp-activation) | 针对 MCP 激活的环境变量篡改 | Tools & Integrations | Execution | feasible | | [EAA-012](techniques/index.md#eaa-012--telemetry-redirection-or-sensitive-logging) | 遥测重定向或敏感日志记录 | State & Telemetry | Execution, Collection, Exfiltration | demonstrated | | [EAA-013](techniques/index.md#eaa-013--cloud-hosted-skill-poisoning-and-sync) | 云端托管 Skill 投毒与同步 | Control Plane | Execution, Persistence | feasible | | [EAA-014](techniques/index.md#eaa-014--cross-agent-control-plane-fan-out-planting) | 跨 Agent 控制平面扇出植入 | Control Plane | Persistence | observed | | [EAA-015](techniques/index.md#eaa-015--inherited-authority-abuse) | 继承权限滥用 | Identity & Authority | Execution, Collection, Exfiltration | observed | | [EAA-016](techniques/index.md#eaa-016--agent-environment-discovery) | Agent 环境发现 | Runtime & Environment | Discovery | demonstrated | | [EAA-017](techniques/index.md#eaa-017--agent-native-evidence-tampering) | Agent 原生证据篡改 | State & Telemetry | Defense Evasion | observed | ## 验证 在提交更改之前,请运行无依赖验证器: ``` python3 scripts/validate.py ``` 它会验证结构化目录,并交叉检查 ID、元数据、关系、规范案例映射、案例、攻击面、战术、候选条目、版本以及本地链接。通过的结果仅确认结构的一致性,而不代表外部来源的真实性;仍需要对具体断言进行来源审查。 ## 版本控制 当前目录版本:**0.2.1**。 对于分类法、攻击面、证据或命名更改,请提升次要版本号。对于不改变模型的措辞修正、来源更新和新示例,使用修订版本号即可。 ## 许可证 基于 [CC0 1.0 Universal](LICENSE) 发布。
标签:AI代理安全, AI安全, Chat Copilot, Homebrew安装, HTTP工具, Web报告查看器, 威胁情报, 开发者工具, 攻击技术, 端点安全, 红队知识库, 补丁管理, 逆向工具, 防御加固