当 LLM Agent 变成黑客的“副驾驶”：一个 CVE 到数据库沦陷仅需 4 步横向移动你会不会已经习惯让 AI A

你会不会已经习惯让 AI Agent 帮你写代码、查资料、做报表？但如果这个“助手”被攻击者接管，用来攻破你内网的核心数据库，你还能感到安全吗？

今天，一个真实案例告诉我们：这不再是科幻小说的情节。攻击者已经成功利用 LLM Agent，完成了一次从公开漏洞利用到内部数据库数据窃取的完整攻击链——全过程在几分钟内完成，中间涉及 4 次精确的横向移动。

今日主线：当 AI Agent 成为攻击者的“后渗透杠杆”

今天，安全领域发生了两件意义截然不同的事：一件是荷兰当局捣毁了一个拥有 1700 万台被感染设备的僵尸网络（规模惊人，但手法传统）；另一件是攻击者首次被观察到使用 LLM Agent 来完成攻击后的横向移动与数据窃取。

后者的信号强度远超前者的原因在于：它改变了攻击范式的底层逻辑——从“人驱动的黑客”进化到“Agent 驱动的自动化黑客”。对于国内大量正在拥抱 AI Agent、将其嵌入内部流程的企业来说，这可能是最危险的一课。

我选择今天用安全事件作为主线，不是因为它取代了 AI Agent 的优先级，而是因为它恰好是最能说明“Agent 双刃剑”性质的现实案例。

以下是根据 Sysdig 安全团队的分析，一起真实攻击事件的 5 个关键事实：

初始入口：攻击者利用 Marimo 笔记本（一个开源 Python 笔记本工具）的 CVE-2026-39987 漏洞，获得了一个可公开访问的 Marimo 实例的执行权限。该漏洞无需认证即可实现远程代码执行，影响 0.20.4 及之前所有版本。
凭证提取：攻击者在被攻陷的 Marimo 主机中提取到两个云服务凭证（AWS key）。这一步本身并不新鲜——传统黑客也能做到。
关键转折点：攻击者使用一个 LLM Agent 来自动完成后续的横向移动。Agent 把提取到的凭证通过一个“分支出网池”（fanned-out egress pool）进行回放，成功从 AWS Secrets Manager 中检索出了一个 SSH 私钥。
精准打击：利用这个私钥，Agent 向一个下游的 SSH 堡垒机发起了 8 次短连接 SSH 会话。
终极目标达成：在不到 2 分钟 内，Agent 完成了对内部 PostgreSQL 数据库的全量结构（schema）和全部内容的数据窃取。

事实与判断分开： 以上是基于 Sysdig 博客公布的攻击取证报告。目前攻击者身份未知，攻击手法是否为深度定向 APT 还是脚本化尝试尚不明确。但攻击路径的可复现性，尤其是用 LLM Agent 接管后渗透的决策链条，是确凿的事实。

1. “AI Agent 不等于 AI 安全助手”——它可以是攻击者的“执行器”。

过去我们说的“AI 助力黑客”，更多是指用大模型生成钓鱼邮件、写恶意代码。但这次不同——Agent 被赋予了 执行上下文：拿到凭证后，它能自己决定该去哪里、查什么、怎么连、偷什么。这不是“辅助”，这是“替代”。

2. 攻击链的“人机比”被颠覆。

传统攻击中，从横向移动到数据窃取，攻击者需要手动维持会话、检查权限、绕过限制。而现在，Agent 可以在拿到初始凭证后的几十秒内完成所有操作。反应时间从“分钟级”压缩到“毫秒级”，防御者几乎没有人工干预窗口。

3. 对国内 AI/Agent 应用创业者的冲击：请立刻思考两个问题。

如果你正在为企业构建 Agent 产品，它是否可能成为攻击者的支点？你产品的凭证管理、网络隔离、权限最小化是否做好了？如果 Agent 被“劫持”后能访问内部数据库，你的架构能兜住这个风险吗？

给开发者和技术管理者：

立即盘点你的 Marimo 部署。如果你或你的团队在生产环境或其他受信任网络内部署了 Marimo，请立即更新到 0.20.4 以上的安全版本。CVE-2026-39987 是一个无需认证的 RCE，暴露在公网就等于敞开了大门。
对 AI Agent 设计“熔断”机制。任何拥有凭证访问权限的 Agent 都应该有：时间窗口限制（凭证有效期秒级）、调用频率上限（防止 bulk exfiltration）、操作审计链（谁让 Agent 做了什么）。
重新思考“信任”边界。如果攻击者已经拿下一个笔记本、一个 CLI 工具或一个 Agent 终端，它之后的路径很可能没有人工复核。请确保你的“最小权限”原则不是给人类用户的，而是给 Agent 的——它往往比你更擅长干坏事。

给安全从业者：

关注 Sysdig 此次攻击的 IoC（入侵指标）。文中提到的“分支出网池”和“8 次短 SSH 连接”是检测这种 Agent 驱动横向移动的典型特征。流量分析中，短时高频的认证尝试+异常出站连接是强烈信号。
把你的安全监控规则从“人做事的模式”调整为“Agent 做事的模式”。人类黑客会在一个目标上停留较长时间，Agent 可能瞬间完成所有动作——你的告警阈值需要适应这个变化。

目前尚无明确证据显示该攻击已关联到其他已知 APT 组织或大规模扩散活动。这可能是一起孤立的、针对性较强的攻击。
LLM Agent 在攻击链条中的“智能程度”尚不明确。Sysdig 的描述未公开 Agent 所使用的具体模型或 Agent 框架。它可能是一个高度定制化的工具，而非通用 AI Agent。
“Marimo”在国内的流行度远低于 Jupyter Notebook，但它的安全影响可能被低估。如果你的企业使用了类似的“AI 友好型笔记本环境”，请思考：谁有权限部署它？它是隔离在网络中的吗？

一句话总结今天的核心冲突： 当你的 AI Agent 可以比你还快地拿到数据库——而你还没来得及为它设计一条“不能走的路”，那攻击者就已经替它走了。

来源链接：