AI 编码智能体被一条假报错劫持、100 所大学遭 ShinyHunters 入侵——明文推理是共同前提

一条假报错，让 AI 编码智能体替攻击者执行了任意代码。Oracle PeopleSoft 一个 CVSS 9.8 的高危零日至今没有补丁，100 家机构已被入侵，其中 68% 是大学。金融行业已部署的 AI 智能体中，有 21% 的企业不知道自己是否已经被黑。

这三件事发生在同一天。它们的共同前提，就是 AI 在处理外部数据时的明文状态。

ShinyHunters 打穿 100 所大学：Oracle PeopleSoft 零日至今无补丁

5 月 27 日，数据勒索组织 ShinyHunters 开始批量攻击 Oracle PeopleSoft。6 月 12 日，Google 威胁情报团队（GTIG）和 Mandiant 联合确认：CVE-2026-35273，CVSS 评分 9.8，PeopleTools 8.61 / 8.62 的未授权远程代码执行漏洞，已造成超过 100 个机构被入侵。

Oracle 在 6 月 10 日发布了安全公告，建议了缓解措施，但截至目前仍未发布正式补丁。

受害者分布高度集中：68% 在高等教育领域。英国诺丁汉大学是首个公开确认的受害方，已承认大量学生数据被窃取。1

Mandiant 首席技术官 Charles Carmakal 告知 CyberScoop：「这场攻击仍在持续。我们今天（6 月 12 日）还在观察 ShinyHunters 发送勒索信。」2

PeopleSoft 是大型组织管理 HR、薪资、财务和校园业务的 ERP 套件。Google 已通知超过 100 家机构，但实际中招数量可能更多。ShinyHunters 自称针对了约 300 个 PeopleSoft 实例。攻击者在受害机构内部署了伪装成合法云端点的 MeshCentral 代理，用于横向移动和数据外泄。被盗数据于 6 月 9 日出现在 ShinyHunters 的数据泄露站点上。3

这场攻击有一个值得单独记录的细节：漏洞被利用了整整 15 天后，Oracle 才发出公告，且公告里没有补丁，只有缓解建议。对于 CVSS 9.8 级的无认证 RCE，这个响应速度本身就是一个安全信号。

Agentjacking：一条假 Sentry 报错，让 AI 编码助手替你运行了攻击者的代码

6 月 12 日，The Next Web 报道了 Tenet Security 公开的研究成果。4

攻击叫「Agentjacking」，原理利用了 Sentry 的公开错误追踪机制。Sentry 允许任何应用通过一个公开的 DSN 密钥上报错误，这个密钥通常明文嵌在网页代码里——这是 Sentry 的设计意图，不是漏洞。

攻击者要做的，是向这个端点 POST 一条伪造的报错，报错里夹带了一个「Resolution」字段，内容是格式化得和 Sentry 建议完全一致的 shell 命令。

当开发者告诉 AI 编码助手「去修一下 Sentry 里未解决的报错」，助手通过 MCP（Model Context Protocol）拉取 Sentry 数据，把这条伪造的建议当成真实的修复指令——然后执行。

没有钓鱼，没有恶意软件，没有入侵服务器。智能体本身就是攻击的执行人，用的是开发者自己的权限，跑在开发者自己的机器上。

Tenet Security 测试了市面上主流的三款编码智能体：Claude Code、Cursor 和 Codex，全部中招，成功率 85%。扫描显示，2388 家机构存在暴露，包括市值 2500 亿美元级别的大型企业、云安全厂商，以及大量独立开发者。

一旦攻击执行成功，环境变量、AWS 密钥、GitHub Token、git 凭证和私有仓库地址都在获取范围内。从这里出发，CI/CD 流水线和云基础设施就是下一站。

更糟的地方：这条攻击路径绕过了 EDR、防火墙、IAM 和 VPN。因为整条链路没有一个环节是「未授权的」，Tenet 把它命名为「授权意图链」（Authorised Intent Chain）。即便给助手加了「忽略不可信数据」的 Prompt，测试结果也没有变化。

Tenet 于 6 月 3 日向 Sentry 报告了这个问题。Sentry 承认了问题，但表示「技术上无法在根本上修复」，只新增了一个过滤特定 payload 字符串的规则——治标不治本。

Tenet 的结论直接：问题根源不在 Sentry，而在于智能体如何对待任何外部数据——支持票、GitHub Issue、文档，都有同样的风险。智能体接入了什么工具，就继承了那个工具的所有信任边界缺失。

开发者终端被 Agentjacking 攻击控制示意 — 开发者终端在 Agentjacking 攻击中成为执行载体 4

CSA 报告：金融行业 62% 已部署 AI 智能体，21% 不知道是否已经被黑

同样是 6 月 12 日，Cloud Security Alliance（CSA）发布了《2026 年金融服务行业云与 AI 状态》报告，调查了 340 名全球 IT 和安全专业人员，访谈时间为今年 1 月到 3 月。5

核心数据：

62% 的金融机构已经部署了 AI 智能体，其中 93% 给予了一定程度的自主权
20% 的受访机构经历过与 AI 工具相关的安全事件
21% 的受访者不知道黑客是否已经通过错误配置的 AI 工具入侵了他们的网络
61% 的受访者最担心的是数据泄露

CSA 首席战略官 Troy Leach 在报告中写道：「今年的调查结果表明，这个行业正在加速走向自主 AI 驱动的运营，同时也意识到可见性、身份治理和实时安全控制必须同步成熟。」

报告还发现，85% 的受访机构预计 AI 智能体未来将直接参与支付授权——但现有的支付认证模型是为「有人类在场确认」设计的，不是为代理软件设计的。「现有支付工具和认证模型，是为有人类在场确认交易细节而设计的，不是为能够代表消费者谈判、选择和执行购买的委托软件代理设计的。」

Loading chart…

DORA 执法 16 个月：合规不等于不暴露

本周 Mondoo 发布了一篇 DORA 16 个月回顾。6

自 2025 年 1 月执法开始至今，核心教训只有一条：DORA 创造的不是合规问题，而是暴露管理问题。

作者引用了一位欧洲合作银行 CISO 的说法：审计员来时，他可以按下按钮，展示合规快照。但 DORA 真正要求的，是持续暴露管理能力——审计通过是副产品，不是终点。

AI 在这里的角色是双重的：一方面，Agentic AI 让大规模持续威胁暴露管理（CTEM）成为可能；另一方面，生成式 AI 工具、MCP 服务器、RAG 流水线本身已经成为新的攻击面，却有大量组织尚未将它们纳入 ICT 风险框架管理。德国金融监管局 BaFin 已在 2026 年明确将 AI 系统纳入 DORA 的 ICT 资产管理范围。

2026 年 AI 合规关键节点

欧盟监管截止日期倒计时

EU AI Act 水印义务（Article 50）

2026-08-02

EU AI Act 高风险系统合规期

2027-12-02

DORA 执法至今月数

BaFin 明确 AI 入 ICT 框架

2026年

Loading stats card…

荆华密算：从今天三件事看密态推理的起点

把今天三条新闻放在一起看，可以提炼出一个共同模式：AI 在工作时，必须处理来自外部的数据——PeopleSoft 里的 HR/薪资数据，Sentry 里的错误报告，金融系统里的交易记录。只要这个处理过程在明文状态下进行，攻击的切入口就存在。

ShinyHunters 拿的是高校的学生数据，因为 PeopleSoft 以明文处理它们；Agentjacking 拿的是 AWS 密钥和 GitHub Token，因为 AI 编码助手在明文环境里接收了伪造的指令；CSA 报告里那 61% 最担忧数据泄露的金融机构，担忧的也是同一件事：AI 在处理财务数据时，那些数据的明文状态意味着暴露机会。

荆华密算的密态推理系统处理这个问题的方式是从架构层改变前提：AI 模型在加密状态下完成推理，明文数据不在任何可访问的内存空间出现。Agentjacking 的攻击链依赖智能体在执行前能看到指令内容——密态推理下，这个前提不成立；ShinyHunters 类型的 ERP 攻击依赖在推理/数据处理层拿到明文——密态推理下，同样这个前提不成立。

这不是在修漏洞，是在取消漏洞存在的条件。

目前荆华密算面向企业的密态 AI 推理系统已有客户，面向 C 端的全链路密态 AI 助手已于 6 月 1 日开启内测，首批 200 名用户可通过内测通道体验。