北京
当你把邮箱、文件、SaaS工具的权限交给AI助手时,你也给攻击者开了一扇新门。不是绕过防火墙,而是利用助手"乐于助人"的本能。
安全研究人员把这种攻击模式称为LOTA——Living off the Agent(寄生智能体)。
传统攻击者使用"就地取材"(LOTL)战术:先站稳脚跟,保持低调,再用受害者自己的工具横向移动。这需要耐心、技术和时间。
LOTA更快、更便宜。攻击者不碰基础设施,直接攻击智能体本身。他们发送一封精心设计的邮件、一个提示词,或通过共享SaaS工具发一条消息。智能体接收后,以为是正常任务,就开始为攻击者干活。
攻击公司Straiker对生产环境的AI智能体做了红队测试,在真实系统中发现87个漏洞,包括24种LOTA攻击模式和15起确认的全权入侵。
传统安全工具为什么失灵?你的SIEM、XDR、防火墙训练了几十年,识别的是凭证窃取、脚本攻击、恶意软件、API滥用。它们擅长做自己该做的事。
LOTA看起来完全不像攻击。当一个被入侵的生产力智能体读取你的Gmail、从Google Drive拉取文件、转发到攻击者的Slack——这看起来就是正常的智能体活动。没有可疑进程,没有异常二进制文件,只是一个智能体在做本职工作。
问题还在恶化。MCP层(Anthropic的模型上下文协议,现在基本被所有企业软件厂商采用)问世不到一年,已经被积极利用:恶意npm包冒充合法MCP服务器, rogue MCP远程端抓取本地环境变量,执行操作系统命令。
一个已出现在野外的具体威胁:Cyberspike Villager,一个中国渗透测试智能体,上线头两个月PyPI下载量超过1万次。它通过自然语言潜入用户工作流——"帮我处理邮件"——然后转向:"测试这个域名的漏洞,只向我汇报"。它被发现使用了超过4000种不同的系统提示词。任务完成后,24小时内自毁。
真相令人不安:智能体的设计初衷是乐于助人,而这种乐于助人本身就是漏洞。
当一个智能体收到看似来自可信来源的任务——同事、客户、另一个智能体——它会尝试完成,不会停下来问任务是否合法。在多智能体流水线中,当恶意指令到达最终执行者时,可能已经经过两三次可信转手,原始意图早已被洗白。
安全团队已经捉襟见肘。全球网络安全岗位空缺480万个。同样的人手不足问题,现在还要面对一种不留下传统痕迹的攻击。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
