识别 AI Agent 遭入侵的五大运行时信号
2026-06-22    FreeBuf

　　2025年6月，提出"提示词注入"概念的工程师Simon Willison向安全社区发出警告，将其称为"致命三要素"——当单个AI Agent同时具备三项能力时，几乎必然通过间接提示词注入形成攻击路径：访问私有数据、接触非可信内容、执行外部通信能力。

　　这一框架极具洞察力。当Agent能读取邮件、解析任意网页内容并发出外部请求时，攻击者只需在内容管道中植入恶意指令，就能悄无声息地操控Agent外泄数据。Willison列举了Microsoft 365 Copilot、GitHub的MCP服务器等大量实际案例，证明此类攻击的普遍性。

　　当时这一框架具有预警价值，因为早期Agent功能较为单一。若某Agent仅具备三项中的一两种能力，其风险等级相对可控。避免三项能力组合曾是可行的设计策略。

　　但随着应用场景扩展，这种窗口期已然关闭：客户服务Agent需要读取工单记录、处理用户附件并调用CRM系统;邮件处理AI必须访问收件箱、解析陌生邮件并代发回复。这些不再是边缘案例，而正是企业和用户真正需要的功能，也是厂商重点开发的方向。

　　标配化的致命组合

　　Sophos首席信息安全官Ross McKerchar在今年五月撰文指出："用户实际需要的功能(读取数据、理解外部语境、执行操作)恰恰构成了危险三角区。这不是配置错误，而是功能实用性带来的架构代价。"确实，无法访问私有数据的Agent毫无价值，不能处理外部内容的Agent与世隔绝，缺乏外部通信能力的Agent形同虚设。缺失任何一项要素，Agent便退化为搜索框般的存在。

　　当所有合规Agent架构都具备这三项特性时，"致命三要素"就不再是高风险信号，而成为默认配置。将其视为威胁指标，就像把DNS解析当作网络入侵信号——在某些威胁模型中成立，却适用于所有实际部署场景。

　　McKerchar提出"爆炸半径控制"的应对策略，这虽属合理操作理念，但本质是接受三要素作为既定前提而非可预防风险。Meta安全团队2025年10月提出的"双要素法则"建议：单次会话中Agent最多满足三项中的两项，若需三项全用则必须人工审核。Willison评价此为"当前构建安全LLM驱动Agent系统的最佳实践"。

　　但Meta也承认，许多热门用例难以严格适配该框架，且"符合双要素法则的设计仍可能失效"。这并非框架缺陷，而是证明问题已超出架构解决方案的应对范围。

　　威胁规模已具象化。Google 2026年4月扫描Common Crawl数据库发现，公共网页中的提示词注入尝试较2025年11月增长32%，从恶作剧到数据窃取载荷不一而足。Google指出当前攻击复杂度仍低，但趋势表明攻击者兴趣持续升温。

　　如何侦查遭劫持的Agent

　　当"三要素"成为常态，从业者需要能区分正常操作与入侵行为的运行时信号。这意味着安全评估需从架构层转向运行时行为检测。

　　2026年1月7日至15日，研究人员连续披露IBM Bob、Superhuman AI等四款AI生产力工具的攻击案例。在Anthropic的Claude Cowork事件中，攻击者通过上传文档嵌入隐藏指令，诱使Agent通过官方API域名外传文件——该行为既规避边界控制，又难以与正常操作区分。这些案例证明三要素已非风险因素，而是运行基础。

　　以下是识别Agent遭入侵的关键信号：

　　指令执行异常：被入侵Agent通常不会表现出结构异常，关键在于执行谁的指令。需关注与用户任务明显无关的操作，例如被要求汇总季度报告却突然向陌生域名发起DNS查询，这必然是所处理内容中的隐藏指令所致。

　　工具调用拓扑断裂：设计良好的系统中，工具调用关系应具可预测性。修复代码漏洞的Agent应操作文件、运行测试，而非调用邮件或日历API。跨工作流界限的工具调用链值得警惕，即便单个调用看似合法。

　　低带宽通道外泄：典型攻击会利用Agent合法访问机制传输数据——如图片URL编码参数、API调用嵌入数据等。孤立看这些输出似属正常，需将Agent数据访问范围与输出内容关联分析。这要求对Agent行为实施端到端监控，而非仅观察最终响应。

　　越权凭证访问：具备密钥库访问权限的Agent若触及与当前任务无关的凭证(如修复React漏洞时读取AWS密钥)，即构成威胁信号。最小权限架构是防御基础，而监控非常规凭证访问则是检测关键。

　　内存写入异常：持久化内存成为新兴攻击面。看似合法的内存条目可能潜伏触发指令，跨会话持续生效。建议监控两类行为：内存写入包含类指令内容，或在处理非可信内容会话期间的内存写入操作。

　　运行时防护是应对之道

　　对运营生产环境Agent基础设施的从业者而言，"致命三要素"已成既定事实，关键在于应对措施。

　　解决方案存在于运行时层而非架构层。正如传统基础设施依赖EDR和SIEM，Agent同样需要尚未普及的检测手段：每次调用的完整执行追踪、工具调用异常检测、内容摄入筛查、任务上下文关联的凭证访问监控、内存写入审计等。防御对象不是人工攻击者登录，而是Agent的隐蔽重定向。

　　Willison提出的三要素在去年具有警示价值，如今却成为标配。唯有运行时异常检测能提供有效防护，上述信号体系正是构建防御的起点。