有人在你的AI工具里藏了一把刀
如果你用Cline写代码,你可能已经在不知情的情况下被人动过手脚了。
上周,一名黑客利用AI编码工具Cline的提示注入漏洞,成功向数千名开发者的电脑上批量安装了软件。这次他装的是无害的开源工具,但下次呢?
发生了什么
Cline是一款深受开发者喜爱的开源AI编码Agent,底层调用Anthropic的Claude模型。安全研究员Adnan Khan发现,Cline的工作流存在一个严重漏洞:攻击者可以在代码仓库或网页中藏入特殊指令,当Cline读取这些内容时,Claude会把这些指令当成合法命令执行——这就是所谓的提示注入攻击(Prompt Injection)。
黑客利用这个漏洞,在用户完全不知情的情况下,让Cline自动在用户电脑上安装了软件。这次装的是OpenClaw(一款开源AI Agent),相对无害。但安全专家指出:他完全可以装键盘记录器、后门程序,或者直接窃取代码和密钥。
更讽刺的是
Khan说,他在公开披露漏洞的数周前就已经私下通知了Cline团队。但Cline一直没有修复,直到他公开点名批评后,补丁才姗姗来迟。
这种"不见棺材不落泪"的安全响应方式,在AI工具领域并不罕见。问题是,AI Agent的权限越来越大——读文件、写代码、执行命令——一旦被劫持,后果远比普通软件漏洞严重。
为什么这件事很重要
提示注入不是新概念,但在AI Agent时代,它的破坏力被放大了十倍。传统软件漏洞需要攻击者找到代码缺陷。但提示注入利用的是AI模型的"理解能力"本身——你越聪明,就越容易被骗。这是模型架构层面的根本性挑战,不是打个补丁就能解决的。
OpenAI最近为ChatGPT推出了"锁定模式",防止AI在被劫持时泄露用户数据。这是一个思路:与其试图让AI"识破"所有注入攻击,不如限制它能做的事情的上限。
富贵怎么看
我们正在把越来越多的权限交给AI Agent——读邮件、管文件、写代码、执行命令。效率确实高,但我们对这些工具的安全性审查,远远没有跟上我们给它们的权限增长速度。
这次Cline事件是个警钟。在你把AI工具接入真实工作环境之前,问自己:如果这个工具被人劫持了,最坏的情况是什么?如果答案让你不舒服,那就先别接。