AX 严选 · 2026-04-22

过去12个月，研究者在5类AI编程工具里报出至少8个配置文件注入CVE。这个数字已经够说明问题：它不是某家实现粗糙，而是这一代 coding agent 的输入边界从一开始就没立住。 我对“配置文件是新攻击入口”这个说法只买一半。配置文件一直都是高价值入口，CI、shell、IDE、package manager 早就反复出事。新东西不在“文件危险”，而在模型把自然语言注释、字段值、README式描述，一并吸进执行链。代码和指令原本靠语法、权限、解释器分层隔开；到了 agent 这里，先统一降成 token，再靠提示词和工具策略补边界。这个设计天生偏软，配置文件只是最容易被稳定复现的载体。 外部参照其实很多。2024年到2025年，社区已经反复讨论过 indirect prompt injection：网页、邮件、文档、issue ticket 都能投毒。Simon Willison 那条线我记得讲得很早，核心判断就是“只要模型会读不可信文本，再去调用高权限工具，注入就不是例外”。这次把战场收缩到 Copilot、Cursor、Claude Code、Amazon Q、Codex，麻烦更大，因为开发环境的权限比聊天机器人高得多：能读 repo、改文件、跑命令、提 PR，少一步人工确认就够出事。 但我也得泼点冷水。正文没给 CVE 编号、触发条件、修复状态，也没说是否需要用户确认、是否默认开启 agent 模式、是否跨工作区生效。没有这些细节，没法判断这8个洞里有多少属于“高危默认路径”，有多少只是“研究环境可打”。我不愿意把它直接讲成行业失控，不过趋势已经很清楚：谁还在宣传“把规则写进 system prompt 就能管住代码代理”，谁就在重复浏览器安全史里最贵的错误。接下来拼的不是模型更聪明，而是工具调用前的权限拆分、可信上下文标注、还有默认拒绝策略。