研究人员在轻量级 AI Agent 自主任务执行框架ModelScope MS-Agent中发现了一个严重安全漏洞CVE-2026-2256。根据 CERT/CC 漏洞公告VU#431821和官方 CVE 记录该漏洞允许攻击者通过精心构造的输入诱导 AI 执行任意操作系统命令可能导致受害主机被完全控制。技术细节漏洞核心在于 MS-Agent 框架的Shell 工具处理方式。该工具本意是让 AI Agent 通过执行系统命令完成真实世界任务如文件操作、网络请求等但在处理来自外部尤其是用户提示或文档的不可信输入时未能充分净化和转义。虽然框架内置了 check_safe() 函数采用基于黑名单拒绝列表的过滤机制来阻挡常见危险命令但这种防御极易被绕过。攻击者可使用命令混淆、替代语法、编码变种或分段拼接等方式轻松绕过正则匹配直接将恶意 payload 送达 os.system / subprocess 执行层。受影响版本v1.6.0rc1 及更早版本漏洞类型命令注入 / 远程代码执行RCECVSS v3.1 评分9.8严重 攻击向量远程通过提示注入实现攻击原理提示注入 命令注入组合攻击者通常采用间接提示注入Indirect Prompt Injection方式将恶意指令隐藏在看似正常的文档、网页内容、邮件附件或代码注释中AI Agent 被要求“分析”“总结”“处理”该内容大模型在解析时将隐藏指令视为高优先级任务指令Agent 决定调用 Shell 工具并将混淆后的恶意命令原样传入check_safe() 过滤失败 → 系统命令直接执行典型 PoC 场景已在 GitHub 上公开Itamar-Yochpaz 的 PoC 仓库证明从一条看似无害的提示即可实现完整系统接管。What is Command Injection Examples, Prevention Protection潜在影响一旦利用成功攻击者可获得与 MS-Agent 进程相同的权限通常包括窃取模型 API Key、用户数据、环境变量中的敏感凭证修改/删除系统文件、代码仓库、数据库植入持久化后门、挖矿程序或勒索软件横向移动攻击内网其他资产在企业级部署或云主机上运行时后果尤为严重。当前状态与缓解措施截至 2026 年 3 月ModelScope 官方尚未发布修复补丁建议密切关注 GitHub 仓库更新。立即可采取的防护建议沙箱隔离强烈推荐 在 Firecracker MicroVM、gVisor、LiteBox 等强隔离环境中运行 Agent限制文件、网络、进程能力。How to sandbox AI agents in 2026: Firecracker, gVisor, runtimes isolation strategies最小权限原则以最低权限用户运行非 root移除不必要的系统工具如 curl、wget、python 等可被滥用的二进制。禁用或严格限制 Shell 工具除非业务必须优先禁用 Shell 工具或强制只允许白名单命令。内容来源信任控制仅处理完全可信来源的输入对网页、文档、邮件等外部内容增加人工审核或二次确认环节。升级 白名单过滤替换尽快升级到修复版本发布后同时替换原有黑名单为严格白名单机制只允许明确的安全命令模式。该漏洞再次提醒在赋予 AI Agent 真实系统操作能力时安全边界设计必须优先于功能便利。建议所有使用或计划使用 MS-Agent 的团队立即评估部署环境并实施上述临时缓解措施。
ModelScope MS-Agent 框架高危漏洞分析(CVE-2026-2256)
研究人员在轻量级 AI Agent 自主任务执行框架ModelScope MS-Agent中发现了一个严重安全漏洞CVE-2026-2256。根据 CERT/CC 漏洞公告VU#431821和官方 CVE 记录该漏洞允许攻击者通过精心构造的输入诱导 AI 执行任意操作系统命令可能导致受害主机被完全控制。技术细节漏洞核心在于 MS-Agent 框架的Shell 工具处理方式。该工具本意是让 AI Agent 通过执行系统命令完成真实世界任务如文件操作、网络请求等但在处理来自外部尤其是用户提示或文档的不可信输入时未能充分净化和转义。虽然框架内置了 check_safe() 函数采用基于黑名单拒绝列表的过滤机制来阻挡常见危险命令但这种防御极易被绕过。攻击者可使用命令混淆、替代语法、编码变种或分段拼接等方式轻松绕过正则匹配直接将恶意 payload 送达 os.system / subprocess 执行层。受影响版本v1.6.0rc1 及更早版本漏洞类型命令注入 / 远程代码执行RCECVSS v3.1 评分9.8严重 攻击向量远程通过提示注入实现攻击原理提示注入 命令注入组合攻击者通常采用间接提示注入Indirect Prompt Injection方式将恶意指令隐藏在看似正常的文档、网页内容、邮件附件或代码注释中AI Agent 被要求“分析”“总结”“处理”该内容大模型在解析时将隐藏指令视为高优先级任务指令Agent 决定调用 Shell 工具并将混淆后的恶意命令原样传入check_safe() 过滤失败 → 系统命令直接执行典型 PoC 场景已在 GitHub 上公开Itamar-Yochpaz 的 PoC 仓库证明从一条看似无害的提示即可实现完整系统接管。What is Command Injection Examples, Prevention Protection潜在影响一旦利用成功攻击者可获得与 MS-Agent 进程相同的权限通常包括窃取模型 API Key、用户数据、环境变量中的敏感凭证修改/删除系统文件、代码仓库、数据库植入持久化后门、挖矿程序或勒索软件横向移动攻击内网其他资产在企业级部署或云主机上运行时后果尤为严重。当前状态与缓解措施截至 2026 年 3 月ModelScope 官方尚未发布修复补丁建议密切关注 GitHub 仓库更新。立即可采取的防护建议沙箱隔离强烈推荐 在 Firecracker MicroVM、gVisor、LiteBox 等强隔离环境中运行 Agent限制文件、网络、进程能力。How to sandbox AI agents in 2026: Firecracker, gVisor, runtimes isolation strategies最小权限原则以最低权限用户运行非 root移除不必要的系统工具如 curl、wget、python 等可被滥用的二进制。禁用或严格限制 Shell 工具除非业务必须优先禁用 Shell 工具或强制只允许白名单命令。内容来源信任控制仅处理完全可信来源的输入对网页、文档、邮件等外部内容增加人工审核或二次确认环节。升级 白名单过滤替换尽快升级到修复版本发布后同时替换原有黑名单为严格白名单机制只允许明确的安全命令模式。该漏洞再次提醒在赋予 AI Agent 真实系统操作能力时安全边界设计必须优先于功能便利。建议所有使用或计划使用 MS-Agent 的团队立即评估部署环境并实施上述临时缓解措施。
