【主流AI Agent存在关键参数注入漏洞，攻击者可实现远程代码执行】

🕐三家未公开名称的热门AI Agent平台存在关键参数注入漏洞，攻击者可通过看似无害的提示绕过人工审批防护机制，实现远程代码执行（RCE）。Trail of Bits指出，这些漏洞利用了为提升文件搜索和代码分析等任务效率而预先批准的系统命令，暴露出智能体AI系统中普遍存在的设计缺陷。

🕑AI Agent依赖find、grep、git和go test等原生工具处理文件系统操作和版本控制，无需重复开发功能，在性能、可靠性和开发速度方面具有优势。然而当用户输入影响参数时，这些预先批准的命令会形成攻击面，导致CWE-88定义的参数注入问题。

#AI##Agent##关键参数#

🍃更多详情参见：http://t.cn/AXwpojBR