1、 智能体安全智能体安全 实践报告实践报告 2 目录目录 一、概述.3 二、漏洞列表.4 三、开发框架中的安全隐忧.5 1.本地请求攻击.5 2.云上服务接口.7 3.小结.8 四、智能体生态中的信任危机.9 1.调用链风险互嵌.9（1）大模型输出.9（2）工具调用.10（3）多智能体协同.12 2.脆弱的决策者.14 3.小结.16 五、沙箱隔离中的盲区风险.17 1.差异化沙箱选择.17 2.易忽视的暗面.19 3.小结.21 六、总结.22 贡献者列表.22 3 一、一、概述概述 随着 LLM 推理预测能力不断提升进步，人工智能技术正进入积极探索应用落地的高速发展时期。作为生成式 AI 的

2、核心交互方案，智能体（Agent）由于其能够进行环境感知、自主决策、任务执行的高度智能化特性，市场规模和应用场景持续扩大，展现出多样化发展趋势。与此同时，AI Agent 带来的安全风险也与日俱增，作为需要独立完成复杂任务的计算机工程应用，在面对不可信的网络环境和潜在攻击威胁时，如何确保其正确性和可靠性尤为重要。近期，360 漏洞研究院联合清华大学计算机科学与技术系，针对 AI Agent 生命周期链路中的各个场景开展安全研究。通过典型攻击面梳理和漏洞挖掘，深入分析探讨了其中潜在的安全风险。结合 360 安全智能体的高效代码分析能力以及特有的特征库，研究团队报告了智能体相关开源项目漏洞 20

3、余个，并在此基础上对重点攻击场景进行归纳总结。图 1-1 智能体安全实践场景概览 研究发现，AI Agent 的全生命周期安全风险呈现多维性、隐蔽性与系统性特征，其安全威胁渗透到开发、测试、部署和运营等一系列流程之中。本报告将Agent安全实践划分为框架层开发设计、生态层协同交互、沙箱层边界隔离三大具体场 4 景，详细介绍了场景中的运行模式，并对其中代表性的风险面和漏洞进行举例说明，旨在提供智能体安全的综合性视角，为智能体安全生态的持续、积极发展贡献力量。二、二、漏洞漏洞列表列表 目标名称目标名称 漏洞描述漏洞描述 CVE 编号编号 LangChain-Chatchat 任意文件写 CVE-2

4、025-6853 LangChain-Chatchat 任意文件读 CVE-2025-6854 LangChain-Chatchat 任意文件写 CVE-2025-6855 n8n 命令注入 暂无 Flowise 参数校验错误 暂无 DB-GPT 参数校验错误 CVE-2025-6772 SuperAGI 任意文件写 CVE-2025-6280 Agent-Zero 任意文件读 CVE-2025-6166 AstrBot 任意文件读 CVE-2025-48957 Intel OpenVINO 信息泄露 CVE-2025-22892 XAgent 参数校验错误 CVE-2025-6281 Ups

5、onic 远程代码执行 CVE-2025-6278 Upsonic 任意文件写 CVE-2025-6279 PySpur 远程代码执行 CVE-2025-6518 Steel Browser 任意文件写 CVE-2025-6152 OpenAgents 任意文件写 CVE-2025-6282 Sim 任意文件读 CVE-2025-7107 Sim 权限配置错误 CVE-2025-7114 Rowboat 权限配置错误 CVE-2025-7115 Xata Agent 任意文件读 CVE-2025-6283 Python-a2a 参数校验错误 CVE-2025-6167 在后续章节的分析中，使用

6、了上述漏洞的部分详情信息作为实际案例，此外，5 案例分析还包含了智能体设计中的风险因素，该类因素可能并不构成完整可用的安全漏洞，但仍可用于揭示当前智能体开源软件项目中易受攻击的不安全场景。三、三、开发框架中的安全隐忧开发框架中的安全隐忧 Agent 架构通常由模型（Model）、工具（Tools）、编排（Orchestration）三个主要组件构成。模型作为系统的决策核心，能够根据具体的输入指令进行推理和预测；工具提供了与外部数据和服务交互的接口，极大的扩展了 Agent 实时获取信息和处理复杂任务的能力；编排则决定了系统如何拆分任务，并根据推理结果来指导和规划之后的行动，直至完成既定目标。A