MetaGPT ActionNode 代码注入漏洞总结 漏洞概述 MetaGPT 的 类中的 方法存在关键性的代码注入漏洞。该函数在处理 LLM(大语言模型)响应时,针对 和 类型的字段,直接使用不安全的 函数来解析字符串。如果攻击者能够通过提示词注入(Prompt Injection)或攻陷模型来影响 LLM 的输出,即可注入任意 Python 代码并在服务器上执行,导致远程代码执行(RCE)。 影响范围 远程代码执行 (RCE): 攻击者可执行任意系统命令。 数据泄露: 可访问敏感文件。 持久化攻击: 可在主机上安装后门。 CWE 分类: CWE-94: Improper Control of Generation of Code ('Code Injection') CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') 受影响代码位置: 第 579-592 行左右。 修复方案 该 Issue 已被标记为 Closed 和 Completed。 根据评论区讨论(用户 ),修复方案涉及引入 QEMU microVM 沙箱代码执行 (exec-sandbox)**,以此作为直接主机进程执行的替代方案,从而隔离代码执行风险。 PoC 代码 (Proof of Concept) 以下是用于验证该漏洞的 Python 脚本: