漏洞总结:AgentScope 未沙箱化代码执行工具导致远程代码执行 漏洞概述 AgentScope 提供的内置工具函数 和 允许执行任意代码,且无任何沙箱隔离(无容器隔离、无代码检查、无权限降级、无网络隔离)。当这些工具通过 HTTP 暴露给 LLM 代理时,攻击者可通过提示词注入(Prompt Injection)诱导 LLM 生成恶意代码,从而在服务器上实现完全远程代码执行(RCE)。 Sink 1: — 将攻击者代码写入临时文件并通过 执行,继承完整服务器环境变量(含 API 密钥、令牌等)。 Sink 2: — 直接将命令传入 ,等价于 ,属最直接的 OS 命令注入。 传播路径: 方法直接传递 LLM 生成的工具调用参数,无验证、无确认、无人工介入。 影响范围 受影响产品: (pip 包) 受影响版本: (截至 2026-02-07) 修复版本: 无(None) 严重性: Critical CVSS 向量: 弱点分类: - CWE-94: Improper Control of Generation of Code ('Code Injection') - CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') 修复方案 当前无官方补丁。建议临时缓解措施: 部署时启用 Docker 沙箱或代码检查机制。 禁用或限制 和 工具的暴露。 对 LLM 输出进行严格过滤与人工审核。 --- POC 代码(完整提取) Step 1: 创建易受攻击的服务器 ( ) 环境变量设置 Step 2: 发送利用载荷 Step 3: 验证 RCE 验证输出示例 > 服务器日志确认 LLM 生成了包含攻击者代码的 块,子进程返回 exit code 0。 > 同时验证了环境变量泄露——攻击者代码访问 并写入服务器密钥(Git 认证令牌、VS Code 令牌)至 。