事件经过
Mitiga Labs 于 2026-06-22 发布了完整的攻击链分析(datePublished 通过页面源中的 JSON-LD 确认),演示了假的带回家编码评估存储库——不包含传统恶意软件——如何通过 AI 编码代理默认信任的文件(CLAUDE.md、.cursor/rules、README、MCP 配置)中的间接提示注入来操纵代理以收集 AWS 凭证、枚举云和 Kubernetes 环境,并在两分钟内窃取数据。启用自动运行后,代理仅使用合法的开发者工具。关键结果是窃取了一个长期存活的 CI/CD 服务账户凭证,该凭证在工作站修复后仍然有效。
影响分析
这记录了一个新颖的、武器化的攻击类别,具有针对真实 AI 编码代理(Cursor、Claude Code)的完整可工作的 PoC。未投放恶意软件——传统端点工具的检测本质上为零。该攻击利用了代理式编码助手的基本信任模型:他们在任何人类审查前读取并作用于存储库上下文文件。被盗的长期存活凭证实现了持久的云访问,远超初始工作站妥协,使其成为严重的供应链式身份攻击。
攻击途径
开发者克隆或打开中毒存储库;具有自动运行功能的 AI 编码代理读取包含隐藏提示注入指令的指令文件,并使用合法工具(AWS CLI、kubectl 等)自动执行凭证窃取和数据窃取。
受影响系统
启用了自动运行功能的 AI 编码代理(Cursor、Claude Code 及类似产品),处理存储库上下文文件(CLAUDE.md、.cursor/rules、AGENTS.md、MCP 配置)
缓解措施
在 AI 编码代理中禁用自动运行/自动批准模式;要求工具调用需要显式批准。用短期令牌替换长期静态凭证。在沙箱环境中隔离不受信任的存储库。在执行前审计代理上下文文件(CLAUDE.md、.cursor/rules、MCP 配置)。有关完整 IOC,请参阅 Mitiga 公告。