Jim Fan警示Agent时代新型供应链攻击风险,以LiteLLM被黑事件为例揭示文件系统污染威胁
vibe agents带来远超传统身份盗窃的安全威胁,整个文件系统成为分布式攻击面,~/.claude、skills目录乃至PDF都可能被base64病毒污染。LiteLLM 1.82.8被入侵事件显示恶意代码可窃取凭证并自我复制。当前代理框架面临权限管理困境,只能在盲目授权与完全跳过间选择。未来需"de-vibing"行业,用经审计的Software 1.0为Software 3.0建立多层安全护栏。
这简直是噩梦燃料。过去那种身份盗窃与未来 vibe agents 能做到的事情相比根本不算什么。发送凭证太明显了,那是新手才干的事。他们可以轻易地在 ~/.claude、**/skills/* 中扩散污染,甚至可以仅仅通过你的 agent 定期访问的 /morning-brief 中的一个 PDF 来实现。你的整个文件系统就是新的分布式代码库。每一个可能进入上下文窗口的文件都会增加攻击向量。每段文本都可以是 base64 编码的病毒。
在这个按需软件的新世界里,我尽量最小化依赖——人们很少需要 LiteLLM 支持的全部 API,不如在运行时只构建一个包含你所需功能的定制路由器(我在一次深夜的 claude 会话中就做了这件事)。
不幸的是,在“无脑点击每个编辑的‘是’”与“--dangerously-skip-permissions”之间几乎不存在中间地带。将会出现一个全面兴盛的“去 vibe”产业:抑制那些杂乱输出,并为智能体框架设置护栏和问责机制。它们就像那些无聊的、经过审计的老式 Software 1.0,监视着 Software 3.0 那群叛逆的青少年。
利爪需要外壳。很可能需要许多层嵌套的外壳。