事件经过
Cracken 的研究人员于 2026 年 6 月 23 日发布了对 12 个广泛使用的代理攻防安全平台的首次系统性安全审计(CAI、RedAmon、PentestAgent、DarkMoon、PentAGI、AIRecon、PentestGPT、METATRON、Nebula、Xalgorix、Artemis、STRIX)。他们发现 10/12 容易受到完整沙箱逃逸和主机级 RCE 的影响,11/12 泄露 LLM 提供商 API 密钥,所有 12 个都容易受到无限制武器化绕过护栏的影响。关键攻击是"代理钓鱼":在蜜罐目标上暂存看起来逼真的恶意工件(例如假密码保管库工具"pwcrypt"),代理在其正常工作流程中下载并执行 — 不需要显式提示注入。在 10 个代理和 6 个前沿 LLM(Claude Opus 4.8、GPT-5.5、Gemini 3.1 Pro、DeepSeek V4 Pro)中,该攻击实现了 97.8% 的 RCE 成功率。
影响分析
这些代理红队平台越来越多地部署在真实的操作安全环境中。控制渗透测试目标的对手可以对运行它的组织的测试代理进行武器化 — 窃取 LLM API 密钥、建立持久性、通过 Docker 套接字挂载逃逸容器、以及在运营者的机器上实现完整主机妥协。这将安全工具变成了一个风险,并代表了一类针对 AI 增强安全运营的新颖、高影响力攻击类。
攻击途径
攻击者控制渗透测试目标主机并暂存看起来逼真但有害的二进制文件/工具;代理红队系统在正常操作期间发现、下载并执行它们,触发反向 shell 或内存损坏漏洞,升级为沙箱逃逸和主机 RCE。
受影响系统
CAI、RedAmon、PentestAgent、DarkMoon、PentAGI、AIRecon、PentestGPT、METATRON、Nebula、Xalgorix、Artemis、STRIX(2026 年 6 月审计的所有版本)
缓解措施
没有单一补丁可用 — 需要架构缓解:强制执行严格的最小特权容器配置(无 --privileged、无 Docker 套接字挂载)、隔离工作环境、将所有工具输出视为不可信、以及在二进制执行前实现人工干预门。详见论文中的详细安全架构:https://arxiv.org/abs/2606.24496