事件经过
NVD 于 2026-06-24 针对 Warp 发布了 10 个 CVE 集群,全部在同一稳定版本中修补。这些漏洞跨越整个代理攻击面:从搜索模式构建 shell 命令的 AI 代理代码搜索工具 (CVE-2026-48703)、非交互式 CLI 代理配置文件中的命令拒绝列表绕过 (CVE-2026-48721)、恶意终端输出通过 OSC 转义写入本地文件 (CVE-2026-48720)、精心构造的 Git 分支名称导致提示中的命令注入 (CVE-2026-48719)、遗留 SSH 会话通过远程工作目录的命令注入 (CVE-2026-48732) 以及终端输出的剪贴板泄露 (CVE-2026-48725)。
影响分析
Warp 是一款 AI 优先的终端,被在其中运行 AI 编码代理 (Claude Code、Cursor、Copilot) 的开发人员广泛使用。这些漏洞意味着恶意仓库、远程主机或网页可以通过 Warp 自己的代理执行表面 — AI 编码代理具有提升的信任和广泛的文件系统/shell 访问权限的确切环境 — 在开发人员的机器上执行代码。
攻击途径
多个向量:(1) 包含本地文件链接的恶意 Markdown 文件通过 OS 文件处理器执行;(2) OSC 1337;文件终端有效负载写入任意本地文件;(3) 注入到提示分支选择器中的精心构造的 Git 分支名称执行 OS 命令;(4) 通过未沙箱化的代理配置文件进行 CLI 代理命令拒绝列表绕过;(5) 遗留 SSH 路径中的 SSH 远程工作目录注入;(6) Grep/FileGlob 代理工具从攻击者控制的输入构建 shell 命令;(7) 恶意远程主机请求的终端剪贴板访问
受影响系统
Warp terminal < 0.2026.05.06.15.42.stable_01 (多个 CVE: CVE-2026-48704、CVE-2026-48719、CVE-2026-48720、CVE-2026-48721、CVE-2026-48731、CVE-2026-48732、CVE-2026-48703、CVE-2026-48725、CVE-2026-54699、CVE-2026-54686)
缓解措施
升级至 Warp 0.2026.05.06.15.42.stable_01 或更高版本。所有 CVE 在同一版本中已修复。参考:https://github.com/warpdotdev/warp (NVD 中每个 CVE 的单独提交链接)