事件经过
rtk 的权限分割器在决定 shell 命令是否允许在其输出被过滤到 LLM 上下文中时,无法保守地拒绝或分割几个作为命令执行边界的 Bash 构造。允许的命令前缀后面可以跟随子 shell 或嵌套执行以实现任意命令执行。
影响分析
rtk 位于 shell 和 LLM 上下文窗口之间 — 它是 AI 编码代理的安全控制。绕过其权限分割器意味着攻击者控制的内容 (例如来自项目的 Makefile 或 shell 脚本) 可以在 LLM 执行环境的上下文中执行任意命令,完全破坏该工具的安全目的。
攻击途径
以允许的前缀开头但包含 Bash 视为执行边界 (子 shell、进程替换、命令分组) 的 shell 构造的命令绕过权限分割器的保守分割逻辑,在批准命令的幌子下执行攻击者控制的代码
受影响系统
rtk (rtk-ai/rtk) < 0.42.2
缓解措施
升级至 rtk 0.42.2。公告:https://github.com/rtk-ai/rtk/security/advisories/GHSA-7gxq-fvfc-g327