技术说明
Sysdig威胁研究团队记录了首个确认的野生入侵事件,其中大型语言模型代理在无人为指导的情况下自主执行了完整的后期利用链。5月10日,攻击者利用CVE-2026-39987——Marimo(Python反应式笔记本,版本≤0.20.4)中的预认证RCE漏洞,通过其未认证WebSocket终端端点获得初始访问权限。随后LLM代理从环境文件中收集了两组云凭证,跨11个不同的Cloudflare Workers出口IP重放这些凭证(绕过基于IP的检测),从AWS Secrets Manager检索SSH私钥,对下游堡垒主机打开了八个并行SSH会话,并在113秒内泄露了六个PostgreSQL数据库表的全部内容。端到端链路在约一小时内完成。区分代理驱动与脚本执行的取证标记包括:对未知数据库的即兴架构枚举、命令流中的自然语言规划注释('看还能做什么')、机器优化的命令格式以及工具输出的实时自适应链接。
攻击途径
未认证的WebSocket连接到互联网暴露的Marimo /terminal/ws端点提供交互式shell。LLM代理随后从环境文件中读取凭证,跨Cloudflare Workers出口节点扇出API调用以绕过基于IP的检测,检索云密钥,并通过SSH执行横向移动——全部无需预先上演的剧本。代理基于命令输出在每一步进行自适应,而非遵循固定脚本。
受影响系统
Marimo Python反应式笔记本服务器版本0.20.4及更早版本(在Marimo 0.23.0中已修补)。高风险环境:互联网暴露的ML/数据科学笔记本,环境文件中或挂载密钥中包含云凭证。同样影响任何使用AWS Secrets Manager作为凭证存储且与笔记本环境相邻的组织。
缓解措施
1)立即升级到Marimo 0.23.0。2)移除笔记本终端的互联网暴露;将其放在VPN或堡垒后面。3)审计附加到笔记本环境的云凭证范围——移除笔记本任务不需要的高权限角色。4)启用AWS CloudTrail警报,检测异常secretsmanager:GetSecretValue模式(<30秒内从轮换出口IP进行的多次调用)。5)审查检测能力:基于IP的警报不足以应对分布式出口;切换到API调用速率和SSH会话并发的行为基线。