事件经过
Adversa AI 于 2026-06-30 披露了"GuardFall"(SecurityWeek 报道确认了该日期):开源 AI 编码代理中的一个结构缺陷,其中数十年前的 Bash 技巧——引号删除、$IFS 操纵和类似的 shell 元字符技术——绕过了代理的输入清理防护。嵌入在存储库中的恶意 Bash 指令(例如,在 Makefile、.env 文件或 README 中)被代理摄入并传递给 shell 执行,具有开发人员的完全账户权限。被测试的 11 个代理中有 10 个(包括 Hermes、OpenCode、Roo-code)至少失败了一个 Bash 技巧。只有一个代理阻止了所有测试技术。
影响分析
AI 编码代理通常以开发人员级别的文件系统和 shell 访问权限运行。包含精心设计的 shell 有效负载的恶意存储库在代理处理该存储库时可以静默执行任意代码——将每个不受信任的存储库变成潜在的供应链攻击向量。由于这些代理也在 CI/CD 管道中使用,爆炸半径延伸到自动化构建和部署基础设施。
攻击途径
攻击者使用引号删除、$IFS 间距或其他 shell 扩展技巧在存储库文件中嵌入精心设计的 Bash 有效负载。当 AI 编码代理处理存储库时,有效负载绕过代理的允许列表/拒绝列表防护并在代理的 shell 上下文中以操作员的权限执行。
受影响系统
Adversa AI 测试的多个开源 AI 编码代理(Hermes、OpenCode、Roo-code 和 8 个其他)——截至 2026-06-30 的当前版本;仅有一个通过了所有测试
缓解措施
检查每个受影响代理的供应商特定补丁。在代理执行环境中应用最小权限原则。尽可能将代理与网络和文件系统隔离。监控来自代理进程的意外 shell 生成。