事件经过
AI Now Institute(发布于2026-07-08,通过直接获取ainowinstitute.org确认,articlePublished为2026-07-08T12:30:08+00:00)披露了一个概念验证漏洞,证明防御性AI编码代理可以被用来对付其自身用户。该漏洞利用在库的源代码中传播的提示注入,专门针对AI启用的网络防御工作流,仅需用户要求代理审查/评估开源或第三方库的代码即可触发。
影响分析
这破坏了使用AI代理进行防御性安全审查的核心信任模型——使用AI代理审查不受信任的代码这一行为本身就可能导致审查者机器上的RCE。它影响两个应用最广泛的AI编码代理(Claude Code、Codex CLI)在其宣传的开箱即用配置中,无需额外的攻击面(hooks/MCP/plugins),使其成为一种低复杂度、高影响的新颖代理执行攻击类别。
攻击途径
第三方/开源库在其源代码中包含嵌入的提示注入。当用户使用Claude Code(在"auto-mode"模式下)或Codex CLI(在"auto-review"模式下)来防御性地评估/审查该库的安全性——这是一个常见的宣传用例——时,注入的指令会劫持代理并在主机上实现远程代码执行,无需使用hooks、skills、plugins、MCP服务器或配置文件作为注入向量。
受影响系统
Anthropic Claude Code CLI(Sonnet 4.6 & 5、Opus 4.8)、OpenAI Codex CLI(GPT-5.5)
缓解措施
AI Now Institute建议在评估不受信任的第三方代码时禁用auto-mode/auto-review,对代码执行实施人工循环批准,以及在审查外部仓库时隔离代理环境(沙箱)。