事件经过
PraisonAI 的 AgentMail 组件(4.6.78 之前)接受未签名的 webhook 有效负载,允许攻击者伪造具有任意发件人身份的入站电子邮件/消息事件,代理将其处理为合法。
影响分析
这通过欺骗的"可信"发件人实现了间接提示注入,让攻击者通过在电子邮件驱动的代理工作流中模拟合法通信方来操纵代理行为(例如触发金融或数据流出操作)。
攻击途径
PraisonAI AgentMail 的 webhook 模式缺少签名验证,因此未认证的攻击者可以 POST 精心制作的 message.received 事件,带有欺骗的发件人地址,直接到 webhook 端点,向代理的处理管道注入任意内容。
受影响系统
4.6.78 之前的 PraisonAI AgentMail
缓解措施
将 PraisonAI 升级到 4.6.78 或更高版本;在处理任何入站消息事件前强制 webhook 签名/HMAC 验证。