AI信任边界告急：五项安全审计指南

引言

在短短两周内，两款AI工具遭遇了相同类型的安全漏洞，而四个研究团队已经证实了这一点。每次漏洞披露背后都揭示出一个共同问题：企业级AI系统在处理外部输入时缺乏有效的信任边界。

Copilot漏洞：从可信URL到数据泄露

6月15日，Varonis披露了Microsoft 365 Copilot企业搜索中的一个概念验证泄露链，即SearchLeak (CVE-2026-42824)。受害者只需点击一个精心构造的microsoft.com链接，Copilot就会搜索其邮箱数据，然后通过Bing的服务器请求伪造(SSRF)将数据传出。整个过程无需插件、无需二次点击、也无任何可见提示。四天前，Obsidian Security发布了一个针对LiteLLM的三重CVE漏洞链，使普通权限用户一路提升至管理员权限并实现远程代码执行。两款工具，两个团队，一个共同的信任边界缺陷。

LiteLLM漏洞：普通用户到管理员权限的跃升

LiteLLM网关作为OpenAI、Anthropic、Azure和Bedrock的统一代理，存在严重安全隐患。Obsidian发现的漏洞链包含三个步骤：CVE-2026-47101是一个授权绕过漏洞，允许非管理员用户创建通配符API密钥；CVE-2026-47102通过未受保护的/user/update端点将调用者提升为代理管理员；CVE-2026-40217通过启用完整内置函数的exec()函数逃脱代码沙箱。Obsidian随后演示了通过LiteLLM的回调机制注入伪造工具调用响应，实现反向shell。Obsidian评估整个漏洞链的CVSS评分为9.9。开发者只输入了一个单词，攻击者就成功获得了shell权限。

另一个独立的LiteLLM漏洞问题同样紧迫。CVE-2026-42271是MCP测试端点中的一个命令注入漏洞，已于6月8日被列入CISA已知利用漏洞(KEV)清单，修复截止日期为6月22日。这个KEV条目与Obsidian发现的漏洞链不同，两者是四天内披露的两个独立漏洞，针对同一个网关但修复方式不同。LiteLLM拥有超过40,000个GitHub星标，部署在数千家企业环境中。这并非首次安全警报，今年3月，PyPI上的LiteLLM版本1.82.7和1.82.8就曾遭受供应链攻击被植入后门。一个被攻陷的网关将暴露组织持有的所有提供商凭证。

其他工具漏洞：模式已成规模

在相同的两周内，另外两个工具也出现了相同的信任边界问题。Langflow的CVE-2026-5027成为今年第三个被积极利用的远程代码执行漏洞。文件上传中的路径遍历漏洞允许攻击者在磁盘任意位置写入文件，而由于Langflow默认启用自动登录功能，单个未经验证的请求即可实现远程代码执行。VulnCheck于6月9日确认了该漏洞的利用情况。Censys统计显示约有7,000个暴露实例，主要集中在北美地区，并与MuddyWater组织存在关联。

Mini Shai-Hulud活动则针对了不同的压力点。在5月12日蠕虫源代码公开后，模仿变体在6月1日成功入侵了32个Red Hat云服务的npm包，这些每周被下载约80,000次。该蠕虫能够收集超过20种凭证类型，并在被入侵的维护者身份下自我传播。

四个团队，四款工具，一个共同的操作失败。漏洞类型各不相同：SearchLeak是提示注入，LiteLLM是权限提升，Langflow是路径遍历，Mini Shai-Hulud是供应链投毒。但在所有四种情况中，被攻破的信任边界是相同的。

市场已重新评估风险

CrowdStrike在2027财年第一季度财报电话会议上为这一风险缺口量化了具体数字。该公司的AI检测与响应产品AIDR，连续季度增长超过250%，第二季度渠道超过5000万美元。公司总年度经常性收入(ARR)达到55.1亿美元，而CrowdStrike的舰队遥测数据显示，在企业终端上运行的智能体应用程序超过1,800个。

6月17日，该公司将AIDR扩展至AWS，增加了对Amazon Bedrock、Kiro和Strands Agents等平台上的智能体、LLM和MCP通信的实时评估，这建立在Anthropic的Project Glasswing合作基础上。CrowdStrike首席商务官Daniel Bernard表示，AI攻击表面现已扩展到开发、运行时、身份和云基础设施，而将这些领域视为独立领域的团队会留下它们之间的安全缺口。

实践者的简明表达

美国运通全球商务旅行首席信息安全官David Levin在接受VentureBeat采访时表示，这一模式并不令他惊讶。”我们有种影子AI，这本质上就是影子IT的新版本，”Levin如是说。

Langflow和LiteLLM都符合这一描述。团队为了方便部署这些工具，给予它们凭证权限，却从未将其纳入治理范围。Levin主张在部署前就实施安全措施：”我们并非简单地认为无需基础安全控制就开展项目，”他说。”我们利用NIST控制措施。NIST已发布其CSF框架和AI框架。OWASP也发布了十大风险清单。在部署之前，你需要正确的基础安全控制。”

Enkrypt AI首席安全官兼前AWS副首席信息安全官Merritt Baer指出了这一结构性失败的另一种表述方式。他强调，组织需要建立全面的AI安全框架，而非仅仅关注单一层面的防护。