AI Agent 安全危机：24 个 CVE 且仍在增长

IDEsaster 研究发现主流 AI 编码助手存在 24 个关键漏洞，且利用率为 100%。这对开发者意味着什么？

IDEsaster 的发现

2025 年底，安全研究人员发布了 IDEsaster——一项针对最主流 AI 编码助手的系统性审计。结果令人警醒：跨多款产品发现了 24 个关键 CVE，在受控测试中利用率达到 100%。

这些不是理论上的漏洞。每一个都可以在默认配置下被利用——不需要特殊设置，不需要异常条件。

问题的根源

根本原因是架构层面的。大多数 AI 编码 Agent 遵循相同的模式：先赋予完整的系统访问权限，然后事后尝试限制危险操作。 这就是"默认允许，选择性拒绝"模型——它有一个根本性的缺陷。

当一个 Agent 拥有"环境权限"(ambient authority)——对文件、网络和 Shell 的无限制访问——攻击面就是整个系统。每个工具调用都是潜在的攻击向量。每个 Prompt 注入都是潜在的利用路径。

开发者应该做什么

1. 审计你的工具链：检查你正在使用的 AI 编码助手的安全模型。理解它拥有什么权限。
2. 最小权限原则：如果你的工具支持权限限制，启用它们。不要以 root 身份运行 Agent。
3. 关注安全公告：订阅你正在使用的工具的安全通知。已知的 CVE 通常会有补丁。
4. 隔离环境：在虚拟机或容器中运行 AI Agent，限制其对敏感文件和网络的访问。
5. 评估替代方案：考虑使用内置系统调用级安全评估的 Agent 平台，而非依赖简单的权限弹窗。

安全不是附加功能。当你的 AI Agent 可以读取、执行和发送任何东西时，它就是你的攻击面。24 个 CVE 不是终点——它们只是我们开始认真审视的起点。