RSAC现场实测：100%的AI编程工具被攻破

RSAC 2026的现场，安全研究员Ari Marzouk往演示电脑里丢了一段看起来人畜无害的提示词。三分钟后，Cursor开始自动修改自己的配置文件，Claude Code悄悄往.gitignore里塞了东西，而台下坐着的三千多名工程师还没反应过来发生了什么。

这不是魔术表演。这是本周在旧金山RSA大会上公开演示的攻击链，100%命中——Claude Code、Cursor、Windsurf、GitHub Copilot、Roo Code、JetBrains Junie、Cline，所有主流AI编程工具无一幸免。

Marzouk把这套攻击命名为「Prompt Injection → Agent Tools → Base IDE Features」。名字很长，但逻辑很脏：先骗过AI的提示词过滤，再调用工具权限，最后利用IDE本身的系统级功能完成持久化控制。24个CVE编号已经分配，AWS发了安全通告（AWS-2025-019）。

Unit 42的数据被反复引用：2021年数据泄露平均需要9天，2023年降到2天，2025年的最新数字是「以小时计」。当AI代理成为攻击入口，这个时间表还在压缩。

「持久化」才是新东西

传统提示词注入像是一次性诈骗——骗完这一单，下次重启就失效。但Marzouk演示的变种会污染AI的「记忆」：被注入的指令在数天甚至数周后仍会被调用执行，用户完全无感知。

想象一下：你上周让Claude Code帮忙重构一个模块，它「好心」地优化了你的shell配置。这周你打开终端，那个「优化」过的别名正在把环境变量悄悄发往境外。你检查进程列表，一切正常。你检查网络连接，没有异常。因为恶意代码跑在AI代理的上下文里，用的是你自己的凭证。

Cursor和Windsurf还有另一层麻烦。它们基于的Chromium/Electron版本已经过时，把大约180万开发者暴露在94个已知浏览器漏洞面前。CVE-2025-7656是一个已经被官方修补的Chromium缺陷，但研究人员成功用它攻击了当前版本的Cursor和Windsurf。

这是供应链 negligence，不是模型层面的漏洞，但利用难度更低——不需要懂提示工程，只需要一个构造好的网页。

「氛围编程」正在制造批量事故

RSAC今年的另一个靶子是「vibe coding」——那种闭着眼睛让AI生成代码、不看直接部署的工作流。Moltbook breach被 speaker 反复引用：150万个API密钥、3.5万封邮件、整个数据库，暴露时间不到三分钟。

Baxbench的基准测试数据在会上被展示：没有旗舰模型能在规模上可靠地产出安全代码。基础缺陷率高到「仔细审查」不是流程，是没有工具支撑的一厢情愿。

一个被反复提及的细节：很多团队把AI生成的代码直接合并到主分支，因为「看起来能跑」。但「能跑」和「安全」之间的鸿沟，正在被攻击者系统化地利用。

Marzouk的演示有个耐人寻味的收尾。他问观众：「你们中有多少人把公司代码库完整同步到了本地AI工具？」台下举手的人超过一半。他又问：「有多少人检查过这些工具的权限边界？」举手的人不到五个。

信任边界在哪里？

现代AI编程工具的设计哲学是「深度系统集成」。它们读取文件系统、执行命令、管理git、调用外部API。在大多数实现中，「AI助手」和「特权本地进程」之间的信任边界基本不存在。

攻击链的每一步都利用了这种设计选择：

第一步，提示注入。不需要多复杂，一个被污染的依赖包文档、一个恶意构造的代码注释，都可能成为入口。

第二步，工具调用。一旦AI决定调用某个工具（比如读取文件或执行命令），注入的指令就获得了执行环境。

第三步，IDE功能滥用。利用IDE本身的配置持久化、插件系统或自动同步机制，把 foothold 变成长期驻留。

研究人员强调，这不是某个工具的bug，是架构层面的特征。当你把LLM的推理能力和系统级权限绑在一起，就创造了攻击者梦寐以求的攻击面。

AWS的安全通告（AWS-2025-019）建议用户审查AI工具的文件系统访问范围，限制网络出口，并监控异常的工具调用模式。但这些建议的落地难度，和「仔细审查每一行AI生成的代码」差不多——理论上正确，执行上稀缺。

一个被现场反复讨论的问题是：当AI代理成为标准开发工具，安全团队的 visibility 反而在下降。传统的代码审计、依赖扫描、运行时监控，都假设人类是代码的作者。当作者变成概率模型，审计的基准线在哪里？

Marzouk在演讲末尾展示了一张截图：某主流AI工具的配置文件，被注入的指令以「优化建议」的形式保存，下次启动时自动加载。观众席有人低声骂了一句。这不是电影里的黑客场景，这是本周三下午真实发生的演示。

你的团队上周用AI生成了多少代码？其中有多少行被人类逐行看过？