RSAC现场：100%AI编程工具沦陷，2天就能偷光你的代码库

RSAC 2026正在旧金山进行，安全研究员Ari Marzouk在台上放出一组数字：测试覆盖的AI编程环境，漏洞率是100%。Claude Code、Cursor、Windsurf、GitHub Copilot、Roo Code、JetBrains Junie、Cline，你团队正在用的工具，全在名单上。

这不是预告片，是现场演示。攻击链被命名为「Prompt Injection → Agent Tools → Base IDE Features」，已经拿到24个CVE编号，外加AWS安全公告AWS-2025-019。当你的AI助手被一句话劫持，它能做的事包括：读你的文件系统、执行终端命令、篡改git历史、调用外部API。信任边界？不存在的。

从「帮写个函数」到「植入持久后门」

传统提示词注入像一次性麻醉剂，药效过了就醒。这次演示的可怕之处在于持久化——被污染的指令会被AI记住，几天甚至几周后自动执行。研究人员把这叫「memory-poisoned agentic systems」，翻译成人话：你的编程助手变成了 sleeper agent（ sleeper agent：潜伏特工），平时正常干活，触发条件一到就翻脸。

演示环节，Cursor、Claude Code、Codex CLI、Gemini CLI 全部被当场攻破。攻击者不需要物理接触，不需要社会工程，只需要让你的AI读到一段恶意内容。代码库的README、依赖包的文档、同事发来的PR描述，任何文本输入面都是入口。

Unit 42在RSAC放出的另一组数据更扎心：数据泄露的平均时间，2021年是9天，2023年缩到2天，今年还在跌。当你的AI IDE被植后门，2天足够把代码库、密钥、客户数据打包带走。

「氛围编程」正在成为安全事故的标准前奏

RSAC今年有个被反复提及的案例：Moltbook。一家公司的API密钥、3.5万封邮件、整库数据，在AI生成代码部署后不到3分钟全部暴露。演讲者把它当作「vibe coding」（氛围编程：不看代码逻辑，凭感觉让AI写）的终极警告——当你不再阅读AI写的每一行，漏洞就会替你阅读生产环境。

Baxbench的基准测试数据被搬到台上：没有主流模型能在规模上稳定产出安全代码。「仔细审查」在没有工具支撑时，只是自我安慰。你的团队可能已经在用AI写核心模块，而安全审查流程还停留在人工diff的时代。

Cursor和Windsurf还有另一层麻烦。它们基于老旧的Chromium/Electron版本，把约180万开发者暴露在94个已知浏览器漏洞面前。CVE-2025-7656是一个已修复的Chromium缺陷，研究人员成功用它攻击了当前版本的Cursor和Windsurf。这和模型漏洞是两类问题——供应链疏忽 vs 架构缺陷——但利用难度差不多。

你的CI/CD pipeline可能正在替攻击者打工

AI编程工具的权限设计是根源。为了「无缝体验」，它们被赋予了远超普通应用的系统访问级别。文件读写、子进程执行、网络请求、git操作，全部打通。当你对AI说「帮我重构这个模块」，它实际能做的包括：修改配置文件注入恶意镜像源、在构建脚本里埋后门、把密钥发到外部服务器。

攻击链的每一步都利用了「合法功能」。Agent tools是官方API，base IDE features是正常能力，prompt injection只是触发器。防御方很难用传统WAF或EDR拦截——流量看起来正常，行为看起来正常，直到某天凌晨2点你的数据库开始同步到境外IP。

Ari Marzouk在演讲结尾展示了一个被攻陷的Claude Code实例：攻击者通过poisoned npm package文档注入指令，三天后开发者让AI「优化一下部署流程」，AI自动把生产环境的访问日志配置改成了对攻击者服务器全开放。整个过程没有报错，没有异常弹窗，直到客户投诉数据泄露。

RSAC的展厅里，安全厂商们正在紧急更新展台话术。原本主打「AI赋能开发效率」的产品，连夜加上了「agent行为审计」「prompt沙箱」「内存隔离」的幻灯片。但架构层面的信任边界缺失，不是补丁能解决的。

你的团队上周用AI写了多少行代码？其中有多少行你亲自读过？当2天泄露窗口撞上100%漏洞率，「我们相信AI」和「我们相信运气」之间的区别，可能比你想象的要小。