Agent Security 沙箱可持久化深度报告

       近日由 ChaMd5 AI 安全团队 L 师傅主导，Q 师傅和 B 师傅协助，对各互联网产想 Agent 详细的安全测试结果。在负责任披露的前提下，相关安全测试结果已经提交到对应厂商的 SRC 并获取反馈。

背景

大模型 Agent 深度应用下的沙箱安全边界探索

现状：从“对话框”到“自动化执行器”的演变

当前，主流大模型厂商（如 OpenAI、Google、Anthropic 等）推出的 Agent 应用已不仅局限于文本生成，而是演变为具备复杂任务编排能力的集成式工作流。通过网页端，Agent 能够根据用户的复杂指令，动态地调用代码解释器（Code Interpreter）。 为了确保安全，这些代码通常运行在高度隔离的沙箱环境（Sandbox）中。这种机制极大地增强了模型处理结构化数据、生成图表以及执行复杂逻辑交付的能力，使用户任务的完成度从“建议”层面提升到了“工程”层面。

核心风险点：提示词注入引发的“自然语言 RCE”

然而，随着功能复杂度的提升，安全边界也随之变得模糊。最核心的隐患在于：提示词注入（Prompt Injection）是否能够转化为针对沙箱环境的实质性控制？
在传统网络安全中，远程代码执行（RCE）通过漏洞触发；而在 Agent 场景下，攻击者可能通过精心构造的网页提示词或引诱 Agent 加载恶意外部插件/网页，以“自然语言”的形式诱导模型在沙箱内执行具有持久化意图的恶意代码。

深度隐患：沙箱持久化与跨域复用

如果沙箱的设计存在缺陷，攻击者可能尝试以下进阶攻击路径：

• 沙箱持久化 (Sandbox Persistence): 探索是否可以通过特定的脚本注入，在沙箱文件系统或进程空间内实现驻留，规避任务结束后的销毁机制。
• 跨账户/跨任务复用 (Cross-Session/Account Reuse): 验证是否存在一种方式，使得在任务A 中构造的恶意环境或敏感配置，能够通过某种隐蔽通道或缓存机制，“污染”到任务 B 甚至其他用户的会话环境中。
• 越狱与公网外泄：测试沙箱是否可以通过复杂的协议隧道(如利用DNS请求、特定API 调用等)绕过出口限制，实现与攻击者控制端 (C2) 的公网通信，从而外泄沙箱内的敏感上下文数据。

核心测试维度

为了验证前述关于沙箱持久化及跨账户复用的猜想，我们构建了四个测试模块。

维度 A: 提示词诱导下的持久化植入

测试是否能通过特定指令，使Agent在沙箱文件系统中留下“逻辑后门”(如修改.bashrc 或植入定时任务),从而在用户开启新会话时自动激活恶意逻辑。

维度B: 沙箱隔离性边界探测(侧向移动)

利用内存溢出或文件系统漏洞，尝试探测同一宿主机下不同用户沙箱的残留信息，验证是否存在跨租户的数据泄露风险。

维度C: 外发通信与隐蔽隧道

在严格受限的网络环境下，尝试利用DNS重定向、HTTP Header走私等手段，测试沙箱内敏感数据(如环境变量、 API Key) 回传至外部控制端(C2)的可能性。

维度 D: 水平越权与会话污染

验证 Agent 在多任务切换过程中，是否会错误地将上一个任务的权限或上下文携带至下一个不相关的任务中，导致权限边界崩溃。

为了验证前述关于沙箱持久化及跨账户复用的猜想，测试小组构建了四个测试模块，并进行了深度安全测试。 详细报告下载请见下面pdf 下载链接。

通过网盘分享的文件：Agent Security 沙箱可持久化深度报告-2026-04-13-ChaMD5 AI Group.pdf

链接: https://pan.baidu.com/s/147cCgSpNbl4WNTnj72lf9w?pwd=3itf 提取码: 3itf