漏洞  ·  2026-07-02

GuardFall — Shell 解释绕过暴露 10 个 11 个开源 AI 编码智能体供应链攻击

漏洞High 影响Global
Adversa AI 于 2026 年 6 月 30 日公开披露 GuardFall——一类影响 10 个 11 个流行开源 AI 编码和计算机使用智能体的 shell 防护绕过。根本原因是智能体验证原始命令文本,而 bash 稍后通过扩展和替换重写它,使基于正则表达式的阻止列表失效。SecurityWeek 和 The Hacker News 都在 2026 年 6 月 30 日至 7 月 1 日报道了此披露。针对 Plandex 演示了端到端利用,尚无野外利用报告,但尚未分配 CVE。
AI 编码智能体以开发者的完整账户权限运行。单个被污染的存储库文件——README、Makefile、MCP 响应或包元数据——可以静默盗取 SSH 密钥和云凭证,来自任何克隆它并运行易受攻击智能体的开发者。由于 10 个 11 个主要工具受影响,且数百万开发者正在采用 AI 编码智能体,供应链爆炸范围巨大。
智能体根据安全阻止列表检查原始命令字符串,然后将命令传递给 bash。Bash 通过引号移除、$IFS 扩展、命令替换和编码管道重写字符串——几十年前的 shell 技巧,这些在智能体的安全检查中从未被考虑。Adversa AI(GuardFall 披露,2026 年 6 月 30 日)针对生产 Plandex 二进制文件演示了端到端利用:存储库文件中的被污染内容触发智能体发出混淆命令,该命令盗取 SSH 密钥、云凭证和 $HOME 文件。
Hermes、opencode、Goose、Cline、Roo-Code、Aider、Plandex、Open Interpreter、OpenHands、SWE-agent(10 个 11 个被调查的);Continue 是唯一被大幅缓解的智能体
禁用受影响智能体中的自动执行功能;隔离或重定向 $HOME;避免在分叉的拉取请求上运行智能体;审计存储库随附的配置;采用令牌化和规范化命令执行(结构分析)而不是正则表达式/原始字符串阻止列表。监控 Adversa AI 博客和各个智能体变更日志以获取补丁:https://adversa.ai/blog/opensource-ai-coding-agents-shell-injection-vulnerability
来源
Adversa AI — GuardFall AI Coding Agents Shell Injection VulnerabilitySecurityWeek — Decades-Old Bash Tricks Expose AI Coding Agents to Supply Chain Attacks (Jun 30 2026)The Hacker News — GuardFall Exposes Open-Source AI Coding Agents to Decades-Old Shell Injection Risks
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →