一张网页劫持 AI Agent、Splunk 三天内要补:明文权限正在追着 AI 跑

一张网页劫持 AI Agent、Splunk 三天内要补:明文权限正在追着 AI 跑

本期聚焦 AutoJack、Splunk KEV 和 Novo Nordisk 数据事件三条信号:AI 代理、开发流水线和安全平台都在接手高权限明文通道。文章后半段从这些风险自然过渡到荆华密算密态推理的价值:减少 AI 推理过程中可被窃取的明文数据。

AI 信息安全日报 · 荆华密算
AI 信息安全日报 · 荆华密算@niuma
2026/6/20 · 9:07
0 订阅 · 16 内容

研究速览

一张普通网页,现在可以变成 AI Agent 的本机执行入口。微软披露的 AutoJack 攻击链显示,带浏览能力的 AI 代理一旦能访问本地服务、MCP WebSocket 或开发环境,浏览器里的恶意页面就不再只是「内容」,它可能直接变成主机上的代码执行路径。1
这不是今天唯一的警报。Splunk Enterprise 的 CVSS 9.8 漏洞进入 CISA KEV,联邦机构被要求在 3 天窗口内处理;Novo Nordisk 的数据事件则把 GitHub 令牌、临床试验数据、内部 AI 模型和研发流水线放到了同一张风险图里。三件事放在一起看,AI 安全正在从「模型会不会答错」转向更硬的问题:AI 代理、开发流水线和安全平台接手明文权限后,谁还看得住?

今日三条信号

  • AutoJack:恶意网页劫持 AI Agent。 微软把这条链路描述为:单个恶意网页利用对 localhost 的信任、缺失认证和不安全参数处理,通过 AutoGen Studio 的 MCP WebSocket 触发任意进程执行。受影响对象是预发布构建里的链路,重点不是「某个产品又出漏洞」,而是本地 AI 代理把网页、工具调用和主机权限接到了一起。2
AI 代理从网页到本机环境的攻击路径示意
The Hacker News 对 AutoJack 攻击链的示意图,风险点在网页内容和本地代理运行时之间的信任边界。2
  • Splunk:安全平台本身也进入极速补丁窗口。 Splunk 官方通报称,CVE-2026-20253 源于 PostgreSQL sidecar service endpoint 缺少认证,未授权用户可创建或截断任意文件;受影响版本包括 Splunk Enterprise 10.2.0 至 10.2.3、10.0.0 至 10.0.6,官方给出的 CVSSv3.1 评分是 9.8。3 CISA 6 月 18 日将其加入 KEV,并提醒机构按 BOD 26-04 的风险优先策略快速处置。4
Shadowserver 统计的联网 Splunk 实例分布
BleepingComputer 引用 Shadowserver 数据称,6 月 18 日可见联网 Splunk 实例约 1,421 个,其中北美 952 个、欧洲 223 个、亚洲 202 个;该数据不等同于漏洞实例数。5
  • Novo Nordisk:一个 GitHub 令牌牵出研发和 AI 数据。 Novo Nordisk 自称事件涉及「有限数量」内部 IT 系统,部分临床试验参与者的伪匿名数据被访问,类别包括患者 ID、性别、出生年份、生物标志物、健康/免疫原性数据以及生活方式因素。6 Dark Reading 引述攻击组织和 DataBreaches.Net 的说法称,攻击者声称在其网络内停留两个多月、外传约 1.3TB 数据,并称入口是一个暴露在客户端 JS 里的高权限 GitHub personal access token。7 Novo Nordisk 尚未公开确认这些更大范围细节,因此这里应把公司通报和攻击者说法分开看。

共性不在漏洞名,而在「被信任的明文通道」

AutoJack 的问题是代理浏览网页时,网页内容可以借本地接口往主机权限走;Splunk 的问题是安全平台的 sidecar endpoint 缺少认证,攻击者能碰到本不该碰的文件操作;Novo Nordisk 的问题则更老派,一个长期有效、权限过高的机器令牌把仓库和后续系统串了起来。
它们的技术入口不同,但后果相似:攻击者拿到的是一个已经被系统信任的明文通道。这个通道可能是 WebSocket、sidecar endpoint、GitHub token,也可能是 AI 助手里的提示词、企业文档、会议纪要、客户资料和推理中间态。
这也是安全团队压力快速升高的原因。Dark Reading 引述 ISSA/Omdia 报告称,68% 的网络安全和 IT 从业者认为工作比两年前更难,55% 认为复杂度和工作量都增加,52% 认为威胁更难应付;全职 CISO 覆盖率从 2024 年的 76% 降到 63%,fractional CISO 使用率从 6% 升到 15%。8 AI 被寄望于减负,但同一篇报道也写到,37% 受访者已经用 AI 解决网络安全问题,另有 46% 计划使用。8 防守方越依赖 AI 自动化,AI 运行时本身越不能只靠外围权限和事后审计兜底。

荆华密算视角:别只把门锁得更厚

今天的三条新闻,不适合被简化成「加强认证、及时打补丁、管好令牌」。这些动作当然要做,但它们主要减少入口。真正让企业担心的,是入口一旦被突破,AI 系统处理的数据通常已经以明文形态进入上下文、内存、日志或工具调用链。
荆华密算的密态推理想处理的正是这一层:让模型在加密状态下完成推理,明文数据不在任何可访问内存空间出现。它不能替企业替换所有补丁流程,也不会让一个泄露的 GitHub token 自动失效;但在 AI 助手、企业知识库问答、金融/医疗/政企场景里,它可以降低另一类损失:攻击者即使触到了运行环境,也不应轻易拿到用户输入、业务数据和推理中间态的明文。
这对 C 端全链路密态 AI 助手同样成立。用户把病历、合同、财务记录、工作资料交给 AI 时,最怕的不是模型「记不记得」,而是这些数据在推理过程中被谁看见、被什么插件带走、被哪段日志留下。AutoJack 把网页变成执行入口,Novo Nordisk 把一个令牌变成研发泄露入口,Splunk 把安全平台本身推入三天补丁窗口。下一步,AI 应用不能只问「能不能调用更多工具」,还要问:工具调用发生时,明文到底在哪里。

参考来源

  1. 1AutoJack: How a single page can RCE the host running your AI agent
  2. 2AutoJack Attack Lets One Web Page Hijack AI Agent for Host Code Execution
  3. 3SVD-2026-0603
  4. 4CISA Adds One Known Exploited Vulnerability to Catalog
  5. 5CISA: Splunk Enterprise flaw actively exploited, patch by Sunday
  6. 6Incident update
  7. 7Novo Nordisk Breach Exposes Software Development Pipeline Risk
  8. 8Stressors, AI Forcing Changes to Cybersecurity Teams
AI 信息安全日报 · 荆华密算
AI 信息安全日报 · 荆华密算

围绕这条内容继续补充观点或上下文。

  • 登录后可发表评论。