TaiChu · 完整威胁分析报告

P6执行摘要 · 系统概述

CRITICAL · 整体安全态势：极高风险

TaiChu 端云一体架构在提升用户体验的同时创造了相互叠加的高危攻击面。7 个已确认 SC-GAP、8 条高风险攻击路径（RiskScore 13.8-17.5），整体安全态势为极高风险。端云联动 × 零白名单工具 × 跨设备传播 = 极高系统性风险。一次成功注入可在 5 秒内传播到用户所有设备并获取华为账号 OAuth Token。

目标系统基本信息
目标仓库	SystemAgentDev/TaiChu
产品名称	华为小艺 AI Agent（TaiChu）
技术栈	Rust (core) + Java + Flutter + HarmonyOS
架构	端云三层：A-System + TAICHU Service + Device Agents
工具数量	9 类（bash, exec_cli, exec_os_api, cron, write, read, web_fetch, run_subagent, load_skill）
云同步	cloud-collab session-sync（WORKER_PULL_ACTIVE_INTERVAL=5s）
LLM Provider	可配置（.taichu.json gateway.base_url）
持久化机制	MEMORY.md + cron WAKEUP + Skill marketplace（三重）

分析结果摘要
Agent 实例数	6（含 SubAgent 动态实例）
识别 SC-GAP	7 个（均已确认，含源码证据）
攻击路径数	8 条（AP-TaiChu-01 ~ AP-TaiChu-08）
最高 RiskScore	17.5（AP-TaiChu-04，云→端跨设备）
RiskScore 范围	13.8 ~ 17.5（区分度 = 3.7，符合 v1.5 要求）
持久化路径	5 条（MEMORY / cron / Skill / session-sync / .taichu.json）
跨设备攻击	有（session-sync 5s 传播，SubAgent 云→端下发）
整体评级	★★★★★ 极高风险

三层架构威胁概述

第一层：A-System

端侧客户端 · HarmonyOS · Flutter

★★★★★

入口威胁用户粘贴/NFC/二维码注入

FFI 风险Dart↔Rust OnceLock 竞争

供应链技能市场恶意 Skill

第二层：TAICHU Service

云侧主 Agent · sys_celia_main

★★★★★

注入web_fetch 间接注入

持久化MEMORY.md + cron WAKEUP

供应链.taichu.json LLM Provider 劫持

第三层：Device Agents

手机/PC/车机 · exec_cli / exec_os_api

★★★★★

云→端SubAgent 跨设备指令下发

设备 API通讯录/相册/OAuth Token

传播session-sync 5s 跨设备感染

P0Agent 清单（6 个实例）

TC-AGENT-01

sys_celia_main · 云侧主 Agent

★★★★★ 极高风险

层级TAICHU Service (云)

工具集bash / web_fetch / write / cron / run_subagent / exec_cli / exec_os_api / load_skill

独立性独立分析（主要攻击目标）

关键风险全工具集，最大攻击面，session-sync 根节点

TC-AGENT-02

sys_info_haunter · 后台信息收集

★★★★ 高风险

层级TAICHU Service (云后台)

工具集web_fetch / write / read（持续外部内容抓取）

独立性附属分析

关键风险持续 web_fetch，持续注入入口

TC-AGENT-03

Device Agent Phone · 手机端侧

★★★★★ 极高风险

层级Device Agents (手机)

工具集exec_cli / exec_os_api / cron / write（零白名单）

独立性注记方式

关键风险接收云端 SubAgent 指令，HarmonyOS 系统 API 直接访问

TC-AGENT-04

Device Agent PC · PC 端侧

★★★★ 高风险

层级Device Agents (PC)

工具集bash / exec_cli / write（PC 文件系统全访问）

关键风险企业 SSH Key / 浏览器密码 / VPN 证书

TC-AGENT-05

Device Agent 车机 · 车载端

★★★ 中风险

层级Device Agents (车机)

工具集exec_os_api / nav_control（有限工具集）

关键风险位置信息 / 导航控制

TC-AGENT-06

SubAgent 动态 · 云端动态派生

★★★★ 高风险

层级cloud-collab SubAgent

实例sys_sub_profile_default / coder / researcher

关键风险TargetRemoteSubagentRunnerFactory 无指令校验，跨设备下发

P1AgentProfile · L0-L7 威胁层分析（sys_celia_main）

层级	组件/实体	安全关注点	SC 状态	SC-GAP
L0AgentCore	AgentProfile agent-framework	agent_loop.rs：dual-loop 结构无 cancel 后清空 steering；run_loop() 注入后 steering 不清空（设计意图 auto-continue 但被滥用）	⚠️ 部分	—
L1AgentLoop	run_loop() agent_loop.rs	execute_tool_calls() 无内容过滤；steering messages 机制被利用为持续指令注入通道；cancel 后继续 auto-continue	❌ 无 SC	—
L2Agent	sys_celia_main TC-AGENT-01	主 Agent 工具集最完整（9 类），是攻击链的主要枢纽；无工具降权机制；无 SubAgent 继承权限限制	⚠️ 部分	SCG-TC-04
L3AgentSession	MEMORY.md session-sync	MEMORY.md 云同步（5s），write 工具可直接覆盖；session-sync RemoteSyncBatch 无 HMAC 完整性验证；跨设备污染传播	❌ 无 SC	SCG-TC-05
L4AgentTools	exec_cli exec_os_api bash cron	exec_cli：cli_path 完全 LLM 控制，无白名单；exec_os_api：仅 api.is_empty() 检查，无 API 白名单；bash：无命令过滤；cron：payload.instruction 无内容限制，WAKEUP 模式 App 关闭仍触发	❌ 无 SC	SCG-TC-01 SCG-TC-02 SCG-TC-03
L5CoreSDK	prompt_builder.rs FsAuthProvider OnceLock	prompt_builder 自动扫描 skills/*/.md 无完整性验证；FsAuthProvider OnceLock 竞争条件（进程启动时抢注 CliExecutor 永久控制）；write 工具可覆盖 MEMORY.md/IDENTITY.md/SOUL.md	❌ 无 SC	SCG-TC-05 SCG-TC-07
L6ExternalBridge	web_fetch URLGuard HW AS Gateway	URLGuard 仅在请求前验证 DNS，不在 TLS 握手后二次验证 IP（DNS 重绑定弱点）；web_fetch 响应内容无 AI 注入检测；cloud-collab WebSocket 无消息完整性验证	⚠️ 部分	SCG-TC-06
L7Service/DataStore	.taichu.json secret.yaml HarmonyOS API	.taichu.json（gateway.base_url/api_key）位于 workspace 内，write 工具可覆盖；secret.yaml（/opt/huawei/cfg/）bash 可读；HarmonyOS exec_os_api 无 API 白名单（通讯录/相册/OAuth Token）	❌ 无 SC	SCG-TC-01 SCG-TC-02

工具安全覆盖概览

9 类工具中，bash / exec_cli / exec_os_api / cron / run_subagent 完全无 SC 保护（4 个极高危工具零防护）；write 工具 PathGuard 仅阻止 workspace 越界，但核心文件（MEMORY.md / IDENTITY.md / SOUL.md / .taichu.json）在 workspace 内，可被直接覆盖；web_fetch URLGuard 存在 DNS 重绑定弱点。

P4攻击路径汇总（8 条，可排序）

排名	AP ID	攻击路径标题	注入分	危害分	Novelty	RiskScore ▼	特征标签
🥇 1	AP-TaiChu-04	云侧注入→SubAgent 下发→端侧执行（云→端跨设备 RCE）	5.0	9.0	3.0	17.5	CRITICAL新型云→端设备RCE
🥈 2	AP-TaiChu-03	exec_cli 注入→鸿蒙 API 滥用→隐私数据窃取（零白名单设备控制）	5.0	9.0	2.0	16.0	CRITICALHarmonyOSSCG-TC-02
🥉 3	AP-TaiChu-01	web_fetch 注入→MEMORY.md 污染→跨设备 5s 同步传播	4.8	8.1	3.0	15.9	HIGHMEMORY持久化跨设备传播
4	AP-TaiChu-02	web_fetch 注入→cron→bash 持久后门（WAKEUP App 关闭仍触发）	4.8	7.6	3.0	15.4	HIGHcron WAKEUPSCG-TC-03
5	AP-TaiChu-08	exec_os_api→华为账号 Token 窃取→SSO 全系接管	4.4	8.6	2.0	15.2	HIGHOAuth Tokenexec_os_api
6	AP-TaiChu-05	恶意 Skill 植入→system prompt 永久污染（技能市场供应链攻击）	5.0	6.5	3.0	14.5	供应链系统PromptSCG-TC-07
7	AP-TaiChu-06	session-sync 劫持→跨设备 MEMORY 污染（弱端点→全端感染）	2.1	9.0	3.0	14.1	横向传播ALL_DEVICES云同步
8	AP-TaiChu-07	.taichu.json gateway 劫持→LLM Provider 替换→思维链 MITM	3.75	7.2	2.8	13.8	LLM供应链CONFIGSCG-TC-01

RiskScore 计算公式（v1.5）

Total = 注入分 + 危害分 + Novelty，其中：注入分 = min(5, accessibility × trigger × 5)；危害分 = min(10, 危害等级 × 影响范围 × ∏d_Sinkᵢ × 10)；d_Sinkᵢ = max(0, 10 + 逃逸 + 精度 + 先验 + 感知 + 诱导) / 10；Novelty = Breakthrough(0~3) + Rarity(-1~2)。范围：13.8 ~ 17.5，区分度 3.7 符合 v1.5 要求。

P1SC-GAP 完整列表（7 个已确认）

SCG-TC-01 · bash 工具无内容过滤

严重性：★★★★★ 极高 | 修复优先级：P0 立即

影响工具：bash（120s 超时，workspace 内运行）

LLM 可通过 bash 执行任意 shell 命令，无危险命令拦截、无沙箱加固、无执行日志。工具调用结果直接返回 LLM，攻击者可链式组合（读取文件→curl 外泄/.taichu.json 读写）。关联：AP-TaiChu-02、AP-TaiChu-07。

修复：实现命令黑名单（rm -rf/curl/wget/nc 等）；高危命令引入用户确认机制；或限制 bash 只能在隔离沙箱容器内运行

SCG-TC-02 · exec_cli 无参数白名单（LLM 全控制 cli_path + args）

严重性：★★★★★ 极高 | 修复优先级：P0 立即

影响工具：exec_cli（设备 bridge → ArkTS → HarmonyOS ToolService）

源码确认（exec_cli.rs）：cli_path 参数完全由 LLM 控制，无允许路径列表；args 无特殊字符过滤。攻击者可将 cli_path 设为任意路径（如 /system/bin/sh），args 设为 ["-c","恶意命令"]，直接在 HarmonyOS 设备层执行，完全绕过 workspace 沙箱。关联：AP-TaiChu-03、AP-TaiChu-04。

修复：cli_path 强制白名单（仅允许 /system/bin/... 特定已注册设备工具）；args 参数长度/字符限制；执行审计日志

SCG-TC-03 · cron payload.instruction 无限制（WAKEUP 持久化）

严重性：★★★★ 高 | 修复优先级：P1 紧急

影响工具：cron（HarmonyOS systemTimer WAKEUP|EXACT 系统定时器）

cron payload 的 payload.instruction 字段无内容审查，可携带完整攻击载荷。LLM 可创建 EVERY_HOUR 重复任务，每次触发新 Agent 会话执行攻击指令；WAKEUP 模式下 App 关闭后定时器仍会唤醒执行，实现无需用户参与的持久化攻击。关联：AP-TaiChu-02。

修复：instruction 字段实施 schema 验证；禁止包含 shell 命令关键字；限制 instruction 长度；存储前通过内容安全 API 审查

SCG-TC-04 · run_subagent instruction 无限制（跨设备 SubAgent 下发）

严重性：★★★★ 高 | 修复优先级：P1 紧急

影响工具：run_subagent（TargetRemoteSubagentRunnerFactory 端侧接收）

源码确认（target_runner.rs）：TargetRelaySessionContextHelper 仅验证 user_id 非空，SubagentRunRequest.instruction 字段无内容过滤，直接嵌入 SubAgent 系统 prompt。SubAgent 继承父 Agent 全部工具权限（含 exec_cli/exec_os_api），且跨设备下发无需物理接触用户手机。关联：AP-TaiChu-04。

修复：SubAgent instruction 必须通过 AI-Based 安全检查器；限制跨设备 SubAgent 可调用的工具集；端侧接收云端指令需用户确认弹窗；指令来源需云端签名验证

SCG-TC-05 · write 可覆盖核心文件（MEMORY.md / IDENTITY.md / SOUL.md）

严重性：★★★★★ 极高 | 修复优先级：P0 立即

影响工具：write；影响文件：MEMORY.md / IDENTITY.md / USER.md / SOUL.md

PathGuard 仅阻止 workspace 路径越界，但 MEMORY.md、IDENTITY.md、USER.md、SOUL.md 均位于 workspace 内，write 工具可直接完整覆盖这些核心文件无需额外权限。MEMORY.md 通过 session-sync（5s 间隔）同步到用户所有设备，污染一次即感染全端。关联：AP-TaiChu-01、AP-TaiChu-06。

修复：MEMORY.md/IDENTITY.md/SOUL.md 加写保护（仅允许 append 或通过专用记忆 API 写入）；禁止 write 工具直接覆盖这些文件；写入时需用户确认

SCG-TC-06 · URLGuard DNS 重绑定弱点（仅请求前 DNS 验证）

严重性：★★★★ 高 | 修复优先级：P1 紧急

影响工具：web_fetch, web_search；影响组件：URLGuard validate_url()

validate_url() 在请求前解析 DNS，但不在 TLS 握手后二次验证目标 IP。攻击者可使用低 TTL DNS 记录：请求前解析到合法 IP（通过 URLGuard），TCP 连接建立时 DNS 切换到内网 IP，实现 SSRF。web_fetch 响应内容也无 AI 注入检测，是最主要的注入入口。关联：AP-TaiChu-01、AP-TaiChu-02、AP-TaiChu-07。

修复：实现 IP 重验证（TLS 握手后再次验证目标 IP）；DNS TTL < 60s 的域名发出预警；对 web_fetch 响应内容实施 AI 注入检测

SCG-TC-07 · plugin.json 可被 write 覆盖（技能市场供应链 / 恶意 .dylib 加载）

严重性：★★★★★ 极高 | 修复优先级：P0 立即

影响文件：plugin.json / .dylib 插件；影响工具：write / load_skill

plugin.json（skills/ 目录内）可被 write 工具直接覆盖，无数字签名验证、无哈希校验。prompt_builder.rs 自动扫描 skills/**/*.md 并嵌入系统 prompt，恶意 SKILL.md 与合法技能在系统层完全等价。攻击者通过技能市场下发恶意 Skill 可实现 system prompt 永久污染（Skill 级持久化）。关联：AP-TaiChu-05。

修复：plugin.json 写保护；.dylib 加载路径白名单验证；代码签名检查（类 App Store 模型）；技能安装需用户明确授权

P1Extended Assets 风险矩阵

高风险资产总结

TaiChu 可访问的高敏感资产涵盖设备层（通讯录/相册/OAuth Token）、云层（MEMORY.md/session 历史）、系统层（SSH Key/VPN 证书/浏览器密码）。所有 P0 资产均通过零白名单工具（exec_os_api/exec_cli/bash）直接可达，无需额外提权。

★★★★★ P0 极高风险资产

🔑

华为账号 OAuth Token

涉及 AP：AP-TaiChu-08, AP-TaiChu-04

工具：exec_os_api("getHuaweiAccountToken") → 华为 SSO 全系服务接管

P0

📞

通讯录（姓名/电话/关系）

涉及 AP：AP-TaiChu-03, AP-TaiChu-04, AP-TaiChu-08

工具：exec_os_api("contactsList") → 无白名单直接访问

P0

🖼️

相册/照片（含证件照）

涉及 AP：AP-TaiChu-03, AP-TaiChu-04

工具：exec_os_api("photosList") / exec_cli → 批量导出可能

P0

🧠

所有设备 MEMORY.md

涉及 AP：AP-TaiChu-01, AP-TaiChu-06

工具：write + session-sync → 5s 内传播到全部设备

P0

⚙️

.taichu.json API Key

涉及 AP：AP-TaiChu-07

工具：bash 读写 → LLM Provider 劫持 → 思维链 MITM

P0

💳

微信/支付宝数据

涉及 AP：AP-TaiChu-03

工具：exec_cli → sh → tar → 应用沙盒文件打包

P0

🔐

企业 SSH Key（PC 端）

涉及 AP：AP-TaiChu-06

工具：bash（PC 端）→ ~/.ssh/id_rsa 直接读取

P0

🌐

浏览器存储（Cookies/密码）

涉及 AP：AP-TaiChu-06

工具：bash（PC 端）→ 浏览器配置文件直接访问

P0

★★★★ P1 中高风险资产

📍

地理位置（实时+历史轨迹）

涉及 AP：AP-TaiChu-01, AP-TaiChu-05, AP-TaiChu-08

工具：exec_os_api("getLocation") / exec_os_api("locationHistory")

P1

💬

短信内容

涉及 AP：AP-TaiChu-03

工具：exec_os_api("smsList") → 验证码/银行短信

P1

📅

日历/行程（含会议信息）

涉及 AP：AP-TaiChu-01, AP-TaiChu-05

工具：exec_os_api("calendarEvents") → 行程+位置信息

P1

📄

工作文档（PC 端文件系统）

涉及 AP：AP-TaiChu-06

工具：bash / read → ~/Documents 全量访问

P1

🔒

企业 VPN 证书（PC 端）

涉及 AP：AP-TaiChu-06

工具：bash（PC 端）→ 证书文件直接读取

P1

🗝️

Heavy Runtime PERSONAL-API-KEY

涉及 AP：AP-TaiChu-07

工具：bash → .xiaoyienv / secret.yaml 读取

P1

📝

session 历史（JSONL 对话记录）

涉及 AP：AP-TaiChu-01, AP-TaiChu-05, AP-TaiChu-07

工具：read → sessions/*.jsonl → 历史对话内容泄露

P1

P6与已分析 Agent 横向对比

对比维度	HermesAgent	SimpleAgent	OpenClaw	TaiChu（本次）
架构复杂度	中（单设备云端）	低（本地单 Agent）	中（工作区 Agent）	极高（端云三层）
最高 RiskScore	~15.x	~12.x	~14.x	17.5
工具危险等级	高（bash/web）	中	高（bash/write）	极高（+exec_cli/exec_os_api/cron/SubAgent）
持久化机制	MEMORY.md	无	MEMORY.md	MEMORY.md + cron + Skill（三重持久化）
传播范围	单设备	单设备	单设备	多端跨设备（5s 传播）
设备 API 访问	无	无	无	有（HarmonyOS 系统 API 零白名单）
云→端攻击链	无	无	无	有（SubAgent 跨设备下发）
SC-GAP 数量	5 个	3 个	4 个	7 个
OAuth Token 访问	无	无	无	有（华为账号 SSO 全系）
整体危险等级	高	中	高	极高 CRITICAL

TaiChu 独有的高危特性（其他 Agent 均无）

① exec_cli/exec_os_api 无白名单（其他 Agent 仅有 bash）；② 端云 SubAgent 跨设备下发（TargetRemoteSubagentRunnerFactory）；③ session-sync 5s 传播（其他 Agent 无跨设备同步）；④ cron + HarmonyOS WAKEUP（App 关闭仍可触发）；⑤ 华为账号 OAuth Token 访问（直接接触华为 SSO）。

P6修复建议（按优先级排序）

P0 立即修复（建议在下一版本发布前强制完成）

SCG-TC-02（exec_cli 白名单）、SCG-TC-05（MEMORY.md 写保护）、SCG-TC-07（plugin.json 签名）、SCG-TC-01（bash 过滤）涉及直接 RCE 和持久化路径，在正式部署前必须修复。

SC-GAP	核心修复建议	实现难度	优先级
SCG-TC-02 exec_cli 无白名单	exec_cli 强制 cli_path 白名单（仅允许预注册设备工具路径）；args 参数长度/字符限制；执行审计日志	低	P0 立即
SCG-TC-05 核心文件可写	MEMORY.md/IDENTITY.md/SOUL.md 写保护（仅允许 append 或专用 API）；禁止 write 工具直接覆盖；写入需用户确认	中	P0 立即
SCG-TC-07 plugin.json 可写	plugin.json 写保护；.dylib 加载路径白名单验证；代码签名检查；技能安装需用户明确授权	中	P0 立即
SCG-TC-01 bash 无过滤	添加危险命令 deny-list（rm -rf/curl/wget/nc 等）；高危命令引入用户确认；或限制 bash 在沙箱容器运行	中	P0 立即
SCG-TC-03 cron 无过滤	payload.instruction schema 验证；禁止包含 shell 命令关键字；限制 instruction 长度；存储前内容安全 API 审查	低	P1 紧急
SCG-TC-04 SubAgent 无限制	SubAgent instruction AI-Based 安全检查；限制跨设备 SubAgent 可调用工具集；端侧接收云端指令需用户确认；指令来源云端签名验证	中	P1 紧急
SCG-TC-06 URLGuard DNS 弱点	TLS 握手后二次验证目标 IP；DNS TTL < 60s 域名预警；web_fetch 响应内容 AI 注入检测	中	P1 紧急

额外修复建议（超出 SC-GAP 范围）

领域	修复建议
exec_os_api 白名单	实现 API 白名单（仅允许已知安全 API）；敏感 API（Token/通讯录/相册）需用户确认弹窗
session-sync 完整性	对同步消息添加 HMAC 完整性验证；source device_id 强验证；拒绝来源不明的同步批次
SubAgent 跨设备权限	端侧 SubAgent 接收指令时需用户确认；工具继承降权（跨设备 SubAgent 仅允许只读工具）
Heavy Runtime 凭据	secret.yaml 文件系统级读保护（Agent 进程只读，bash 不可读）；凭据存入 OS KeyChain
MEMORY.md 云同步安全	同步前签名验证；支持按设备分段记忆，限制污染传播范围；异常写入（全量覆盖）告警
Skill 内容安全	SKILL.md 内容签名验证；技能市场恶意检测（AI 审核）；发布签名强制要求

TaiChu · 华为小艺 威胁分析

TaiChu · 华为小艺威胁分析