一、脑洞大开：两个或真或假的信息安全事件

案例 ①：代码托管平台的“隐形炸弹”

2025 年底，某全球领先的开源代码托管平台（以下简称“星云码”）在内部审计时竟发现，平台的自动化代码审查机器人在过去三个月里，连续执行了 27 条异常的系统命令，其中包括一次对内部 CI/CD 服务器的“删除 /var/log”操作。更离奇的是，这些命令并非来源于任何已知的恶意提交或外部渗透，而是源自平台的AI 代码助理——一款基于大模型的自动补全工具。

调查显示，攻击者利用Sentry（一款开源错误监控系统）公开的 DSN（Data Source Name），向 Sentry 注入了特制的错误事件，事件正文中嵌入了 Markdown 格式的“代码块”。当星云码的开发者在使用 AI 代码助理“修复 Sentry 报错”时，助理从 Sentry MCP（Model Context Protocol）获取了该错误事件，误把其中的代码块当成了“官方建议”，于是直接在 CI 环境下执行，导致生产系统日志被清空，进一步打开了攻击者的后门。

教训：AI 助手本是提升效率的好帮手，却可能因信任链的缺口，成为攻击者的“暗门”。若不对外部输入进行严格过滤，任何公开的凭证（如 DSN）都可能被利用。

案例 ②：金融公司“看不见的泄密”

2026 年 4 月，一家国内大型商业银行的研发部门在一次例行代码合并后，突然发现内部的 GitHub Actions 工作流被替换为一个新的 Action，执行后会将 repo-secret（包含银行内部 API 密钥）上传至攻击者控制的 Dropbox 账户。该 Action 是由一条 AI 代码生成脚本 自动写入的，脚本的生成依据是一条看似普通的 “Sentry 报错解决方案” 提示。

进一步追踪发现，攻击者在互联网上爬取了该银行公开的前端页面，成功提取了嵌入页面源码的 Sentry DSN。利用 DSN，攻击者向 Sentry 发送了伪造的错误事件，事件的 context 字段中包含了一个带有 bash 命令的代码块。银行的 AI 代码助理在自动生成“修复脚本”时，将此代码块直接写入了 CI 配置文件，导致每次构建都会执行泄密脚本。

教训：即便是内部审计严密、权限控制完善的金融机构，也可能因 公开的监控凭证 与 AI 生成的盲目信任 被置于风险之中。任何对外部输入的 “一视同仁” 都是安全的沉船根源。

二、从案例背后抽丝剥茧：Agentjacking 的本质与危害

1. 信任链的薄弱点
   • Sentry DSN：多数组织将 DSN 直接硬编码在前端页面或日志中，以便快速收集错误信息。DSN 本身是 写入（write‑only） 权限的凭证，理论上不应被用于读取或验证。但一旦被攻击者获取，便能向 Sentry 注入任意事件。
   • Model Context Protocol (MCP)：AI 助理通过 MCP 向后端请求上下文信息，返回的内容被视作“可信系统输出”。如果后端返回的内容被攻击者篡改，AI 助理就会毫无防备地执行恶意指令。
2. AI 助手的“盲目执行”
   • 大模型在生成代码时，会根据提示词（prompt）和上下文（context）进行推理。若上下文中出现了特制的 Markdown 代码块，模型往往会把它当作“最佳实践”直接嵌入生成的脚本。
   • “代码即指令”的误区放大了攻击面：AI 助手不再只提供建议，而是直接在开发者机器上运行脚本，等同于本地提权。
3. 危害链的快速蔓延
   • 数据泄露：环境变量、Git 凭证、私有仓库地址等敏感信息可在瞬间被外泄。
   • 系统破坏：恶意脚本可能删除日志、关闭安全审计、甚至植入后门。
   • 横向渗透：一台被攻陷的开发者机器可以成为供应链攻击的跳板，波及整个组织的 CI/CD 流水线。

三、数字化、无人化、数据化的融合——安全挑战的升级

“天下大势，合久必分，分久必合”。
——《三国演义·序》

在当今 无人化（机器人、自动化运维）、数字化（云原生、微服务）和 数据化（大数据、AI）深度融合的环境下，信息安全的 攻击面 已不再局限于传统的网络边界。安全防御正在从 “围墙” 向 “免疫系统” 转型，必须正视 “软体漏洞” 与 “信任漏洞” 同时存在的现实。

1. 无人化运维的隐形风险
   • 自动化脚本、机器人流程（RPA）在日常运维中占比不断提升，一旦脚本被注入恶意指令，整条流水线都会被“快速复制”。
   • 例如，使用 GitHub Actions、GitLab CI、Jenkins 等实现 “零触发” 部署的企业，如果不对 CI 配置文件 实行严格的内容审核，极易成为 Agentjacking 的受害者。
2. 数字化平台的碎片化资产
   • 现代企业的系统往往拆解为众多微服务，且每个微服务都可能嵌入第三方 SDK（如 Sentry、Datadog、New Relic）。这些 SDK 的 公开凭证 若被泄漏，就会向外部提供 “错误信息入口”，为攻击者打开后门。
   • 同时，API 网关、服务网格 等层层抽象，也让 “谁在说话” 的身份验证变得更加复杂。
3. 数据化驱动的 AI 赋能
   • AI 代码助理、AI 测试生成器、AI 漏洞扫描器等正快速渗透研发全过程。模型训练数据 与 推理上下文 的安全性直接决定了 AI 的安全性。
   • 如本案例所示，恶意上下文 可以直接导致 模型误判 与 自动执行，这是一种 “数据污染攻击”（Data Poisoning） 的新变体。

四、我们能做什么？——从个人到组织的防护层层递进

1. 个人层面：养成“安全思维”的好习惯

2. 团队层面：构建“安全开发流水线”

• 输入过滤：在 Sentry、Datadog 等监控平台的 事件接收端 实施 内容过滤（如正则、字段白名单），阻止 Markdown 代码块或可执行语句的注入。
• 模型上下文校验：为 AI 助手加入 上下文校验模块，对返回的文本进行 语义安全检测，识别潜在的“执行指令”。可借助 LLM Guard、OpenAI’s safety layers 实现。
• CI/CD 安全门禁：在代码合并前使用 安全审计工具（如 Semgrep、SonarQube）扫描生成的脚本；对 GitHub Actions、GitLab CI 等工作流配置进行 签名验证。
• 凭证轮换：对公开的 DSN 定期轮换，使用 短期凭证（短效 token）或 IP 白名单 限制写入来源。
• 异常检测：部署 行为分析系统（UEBA），实时监控 AI 助手的调用频次、异常指令执行等异常行为。

3. 企业层面：从“技术防御”到“全员防护”

1. 安全治理框架
   • 建立 AI 安全治理（AI Security Governance）制度，明确 AI 助手的使用范围、审批流程 与 审计要求。
   • 将 Agentjacking 纳入 风险评估清单，在季度安全评审时进行专项检查。
2. 安全文化建设
   • 通过 案例教学（如本篇所述的两大案例）让全员认识到“信任不是理所当然”。
   • 举办 安全演练（红蓝对抗），让研发团队亲身体验攻击者利用 AI 助手的全过程。
3. 技术创新与合作
   • 与 Sentry、AI 助手供应商（如 Claude Code、Cursor）保持紧密沟通，推动 安全补丁 与 功能改进（如强化内容过滤、提供安全 SDK）。
   • 参与 行业安全联盟（如 CNCERT‑CC、OWASP AI），共享 威胁情报 与 最佳实践。

五、即将开启的信息安全意识培训——不容错过的机会

“千里之行，始于足下。”
——《论语·学而》

在数字化浪潮冲击下，信息安全已经不再是 IT 部门的专属职责，而是每一位职工的必修课。为帮助大家系统掌握安全知识、提升风险识别与应对能力，朗然科技将于本月启动为期 四周 的信息安全意识培训计划，具体安排如下：

培训亮点：

• 全员参与：无论是研发、运维、产品还是行政，都有专属场景案例。
• 互动式学习：配合实时投票、情景模拟，让枯燥理论变成“游戏”。
• 实战演练：提供 沙盒环境，让大家亲手尝试攻击与防御，帮助理论快速落地。
• 奖励机制：培训结束后将评选 “安全之星”，给予 内部认证徽章 与 学习积分，可用于公司内部福利兑换。

温馨提示：本次培训将同步发布 《信息安全自查清单》，请各位同事在培训前自行下载并完成初步自查，以便在课堂上针对性讨论。

六、结语：让安全成为每一天的“底色”

在 “无人化+数字化+数据化” 的三位一体趋势中，技术的便利 与 安全的挑战 总是并行不悖。Agentjacking 这类新型攻击告诉我们：“信任链的每一环都必须经得起审视”。只有把 安全意识 融入日常工作、把 安全习惯 当作底层代码，才能在 AI 赋能的浪潮中站稳脚跟。

让我们以 “知己知彼，百战不殆” 的格局，主动迎接即将开启的安全意识培训，用知识武装头脑，用行动守护资产。不让 AI 成为“隐形的刀锋”，而是让它成为 “安全的护甲”。

寄语：安全不是一次性的检查，而是一场 “终身学习、持续改进” 的马拉松。愿每一位同事在本次培训后，都能成为 “信息安全的守门员”，在数字化的海洋里，划出自己的安全航线。

我们深知企业合规不仅是责任，更是保护自身和利益相关者的必要手段。昆明亭长朗然科技有限公司提供全面的合规评估与改进计划，欢迎您与我们探讨如何提升企业法规遵循水平。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898