攻击者视角下的业务智能体渗透

来源： vipread · 发布时间 2025-11-26 22:10 (UTC+08:00) · 抓取时间 2026-03-07 12:41 (UTC+08:00)

摘要

本文链接《攻击者视角下的业务智能体渗透》由平安Hamber团队出品，聚焦大模型与智能体在金融科技场景中的新型攻击面。报告系统梳理提示词注入、工具滥用、身份伪装、MCP越权、知识库污染、XSS/SSRF/命令执行等10+实战手法，演示如何通过一次“查薪资”诱导智能体泄露他人工资、伪造token调用未公开接口、上传恶意MCP插件横向移动并获取内网shell。作者提出“智能体应用扫描-画像-决策”闭环渗透框架，结合CVE实例与平安众测数据，输出可落地的风险矩阵及加固方案，助力企业从设计、部署到运营全生命周期守护数字员工安全。

扩展字段

{
  "time_meta": {
    "applied_timezone": "UTC",
    "fallback": false,
    "raw": "Wed, 26 Nov 2025 14:10:41 +0000",
    "source": "item.pubDate"
  }
}