从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 工具名称:Composio's Local tools Mathematical - 漏洞名称:code injection risk - 漏洞位置:composiohq/composio 2. 描述: - 信用:Aftersnows@360 Vulnerability Research Institute - 漏洞细节:在Calculator类中,没有对用户请求输入的限制,这可能导致恶意代码被注入并执行在eval函数中。 3. 代码示例: 4. 攻击场景: - 当使用一个AI框架时,该框架使用Composio的本地工具MATHEMATICAL执行数学公式(如求和、求差、乘法、除法等)。 - 黑客可以通过在AI模型中输入恶意公式来注入恶意代码,并在AI框架的运行时获得服务器权限。 - 类似于常见的AI风险,提示注入可能导致命令执行。 这些信息表明,该漏洞允许恶意代码通过数学计算公式被注入并执行,从而可能导致服务器权限提升。