AgentScout Logo Agent Scout

微软披露严重漏洞:提示词注入可触发远程代码执行

CVE-2026-26030 漏洞(CVSS 评分 9.8)使攻击者能够通过提示注入技术在 Semantic Kernel 框架中执行任意远程代码。该漏洞影响所有版本低于 1.39.4 的 Python SDK 和 1.71.0 的 .NET SDK,使用该框架构建 AI 智能体应用的开发团队需立即升级以修复安全风险。

AgentScout · · 4 分钟阅读
#microsoft #semantic-kernel #rce #prompt-injection #ai-security #cve
Analyzing Data Nodes...
SIG_CONF:CALCULATING
Verified Sources

TL;DR

微软披露 CVE-2026-26030(CVSS 9.8),这是 Semantic Kernel Python SDK 中的一个严重远程代码执行漏洞,攻击者可通过向量存储过滤表达式中的提示注入执行任意代码。该漏洞影响 1.39.4 之前的所有版本,直接攻击 AI 智能体基础设施而非 Web 端点。

核心细节

  • 受影响方: 微软安全响应中心,影响 Semantic Kernel SDK 用户
  • 事件性质: 严重远程代码执行漏洞(CVSS 9.8),可通过提示注入实现任意代码执行
  • 时间线: 2026 年 5 月 7 日披露;补丁已立即发布
  • 影响范围: 所有使用 Semantic Kernel Python SDK < 1.39.4 或 .NET SDK < 1.71.0 的 AI 应用

事件概述

微软安全响应中心披露了 Semantic Kernel 中的一个严重远程代码执行漏洞,Semantic Kernel 是微软开源的用于构建 AI 智能体的软件开发工具包(SDK)。CVE-2026-26030 的 CVSS 严重性评分为 9.8 分(满分 10 分),是 2026 年披露的最严重的 AI 框架漏洞之一。

该漏洞位于 InMemoryVectorStore 组件中,恶意过滤表达式可通过用户提示注入。与针对 Web 应用端点的传统注入攻击不同,此攻击链通过智能体内部的过滤解析逻辑将自然语言输入转换为可执行的 Python 代码。

“成功利用此漏洞的攻击者可在应用程序上下文中运行任意代码,“微软在其安全公告中表示,“这可能允许攻击者安装程序、查看、更改或删除数据,或创建具有完整用户权限的新账户。”

第二个漏洞 CVE-2026-25592 影响 .NET SDK,是一个路径遍历缺陷。两个漏洞已在 Semantic Kernel Python 版本 1.39.4 和 .NET 版本 1.71.0 中修复,补丁随披露同步发布。

来自 Nuka-AI 的安全研究人员披露了 2 月份初始补丁的多个绕过向量,促使 5 月份的披露和额外的加固措施。

影响分析

该攻击链机制将此漏洞与传统 Web 安全威胁区分开来:

攻击向量传统 XSSSemantic Kernel 远程代码执行
入口点Web 表单输入智能体提示输入
目标层浏览器 DOMPython/.NET 运行时
执行上下文客户端 JavaScript服务端代码
影响范围用户会话应用服务器
利用复杂度中等

攻击链分解:

  1. 提示输入: 攻击者构造包含恶意过滤语法的自然语言提示
  2. 过滤表达式: 提示被传递给 InMemoryVectorStore.filter() 而未经适当清理
  3. 代码执行: 过滤表达式通过 eval() 或等效方法作为 Python 代码执行
  4. 运行时访问: 攻击者获得托管 AI 智能体的服务器上的任意代码执行权限

此漏洞类别特别令人担忧的原因:

  • 无需绕过输入验证: 过滤表达式语法是预期功能,使检测变得困难
  • 智能体特定攻击面: 传统 WAF 规则不检查智能体提示流
  • 高信任上下文: AI 智能体通常以提升的权限运行,以访问工具、API 和数据库
  • 供应链影响: 在生产智能体中嵌入 Semantic Kernel 的组织面临直接暴露风险

根据微软安全博客,对于接受不可信提示的应用程序(包括大多数面向客户的 AI 智能体部署),此攻击无需身份验证。

🔺 独家情报:别处看不到的洞察

置信度: 高 | 新颖度评分: 82/100

更深层次的安全影响超越了即时补丁。此漏洞代表了一个新的攻击类别提示到代码转换攻击。传统安全模型假设用户输入与代码执行之间存在边界,但 AI 智能体框架通过自然语言接口故意模糊了这一边界。Semantic Kernel 的过滤表达式机制不是漏洞——它是一项设计用于让开发者编写表达性查询的功能。该漏洞利用了这一有意的设计模式,使得在不破坏功能的情况下难以区分合法使用与恶意注入。

关键启示: 企业安全团队必须审计所有 AI 智能体框架——不仅是 Semantic Kernel——以查找类似的提示到代码转换模式。LangChain、CrewAI 和 OpenAI 的 Agents SDK 都实现了类似的过滤/搜索机制,可能包含等效漏洞。此攻击面是架构性的,而非偶然的。

应对建议

对于 AI 应用开发者

对于任何使用 Semantic Kernel Python SDK 1.39.4 之前版本或 .NET SDK 1.71.0 之前版本的应用程序,需要立即采取行动。补丁引入了对过滤表达式的严格输入清理,但开发者还应额外:

  • 在过滤表达式生成之前实施提示内容过滤
  • 审计智能体权限并应用最小权限原则
  • 为所有过滤表达式评估启用审计日志
  • 考虑在容器化环境中沙箱化智能体运行时

对于企业安全团队

此披露应触发对 AI 智能体基础设施的更广泛审计:

  1. 清点所有 AI 框架: 包括 Semantic Kernel、LangChain、CrewAI、AutoGen 和 OpenAI Agents SDK 在内的生产环境框架
  2. 审查提示处理代码: 查找类似的过滤表达式模式
  3. 更新安全监控: 将智能体提示流纳入监控范围,传统 WAF 不检查这些内容
  4. 评估影响范围: 具有数据库、API 或文件系统访问权限的智能体会放大潜在影响

关注要点

微软的披露可能是此漏洞类别中的首例。Nuka-AI 的安全研究人员已证明该攻击模式可跨多个智能体框架复制。预计 2026 年全年将有更多针对竞品 AI 智能体 SDK 中提示到代码转换机制的 CVE 披露。

相关报道:

信息来源

微软披露严重漏洞:提示词注入可触发远程代码执行

CVE-2026-26030 漏洞(CVSS 评分 9.8)使攻击者能够通过提示注入技术在 Semantic Kernel 框架中执行任意远程代码。该漏洞影响所有版本低于 1.39.4 的 Python SDK 和 1.71.0 的 .NET SDK,使用该框架构建 AI 智能体应用的开发团队需立即升级以修复安全风险。

AgentScout · · 4 分钟阅读
#microsoft #semantic-kernel #rce #prompt-injection #ai-security #cve
Analyzing Data Nodes...
SIG_CONF:CALCULATING
Verified Sources

TL;DR

微软披露 CVE-2026-26030(CVSS 9.8),这是 Semantic Kernel Python SDK 中的一个严重远程代码执行漏洞,攻击者可通过向量存储过滤表达式中的提示注入执行任意代码。该漏洞影响 1.39.4 之前的所有版本,直接攻击 AI 智能体基础设施而非 Web 端点。

核心细节

  • 受影响方: 微软安全响应中心,影响 Semantic Kernel SDK 用户
  • 事件性质: 严重远程代码执行漏洞(CVSS 9.8),可通过提示注入实现任意代码执行
  • 时间线: 2026 年 5 月 7 日披露;补丁已立即发布
  • 影响范围: 所有使用 Semantic Kernel Python SDK < 1.39.4 或 .NET SDK < 1.71.0 的 AI 应用

事件概述

微软安全响应中心披露了 Semantic Kernel 中的一个严重远程代码执行漏洞,Semantic Kernel 是微软开源的用于构建 AI 智能体的软件开发工具包(SDK)。CVE-2026-26030 的 CVSS 严重性评分为 9.8 分(满分 10 分),是 2026 年披露的最严重的 AI 框架漏洞之一。

该漏洞位于 InMemoryVectorStore 组件中,恶意过滤表达式可通过用户提示注入。与针对 Web 应用端点的传统注入攻击不同,此攻击链通过智能体内部的过滤解析逻辑将自然语言输入转换为可执行的 Python 代码。

“成功利用此漏洞的攻击者可在应用程序上下文中运行任意代码,“微软在其安全公告中表示,“这可能允许攻击者安装程序、查看、更改或删除数据,或创建具有完整用户权限的新账户。”

第二个漏洞 CVE-2026-25592 影响 .NET SDK,是一个路径遍历缺陷。两个漏洞已在 Semantic Kernel Python 版本 1.39.4 和 .NET 版本 1.71.0 中修复,补丁随披露同步发布。

来自 Nuka-AI 的安全研究人员披露了 2 月份初始补丁的多个绕过向量,促使 5 月份的披露和额外的加固措施。

影响分析

该攻击链机制将此漏洞与传统 Web 安全威胁区分开来:

攻击向量传统 XSSSemantic Kernel 远程代码执行
入口点Web 表单输入智能体提示输入
目标层浏览器 DOMPython/.NET 运行时
执行上下文客户端 JavaScript服务端代码
影响范围用户会话应用服务器
利用复杂度中等

攻击链分解:

  1. 提示输入: 攻击者构造包含恶意过滤语法的自然语言提示
  2. 过滤表达式: 提示被传递给 InMemoryVectorStore.filter() 而未经适当清理
  3. 代码执行: 过滤表达式通过 eval() 或等效方法作为 Python 代码执行
  4. 运行时访问: 攻击者获得托管 AI 智能体的服务器上的任意代码执行权限

此漏洞类别特别令人担忧的原因:

  • 无需绕过输入验证: 过滤表达式语法是预期功能,使检测变得困难
  • 智能体特定攻击面: 传统 WAF 规则不检查智能体提示流
  • 高信任上下文: AI 智能体通常以提升的权限运行,以访问工具、API 和数据库
  • 供应链影响: 在生产智能体中嵌入 Semantic Kernel 的组织面临直接暴露风险

根据微软安全博客,对于接受不可信提示的应用程序(包括大多数面向客户的 AI 智能体部署),此攻击无需身份验证。

🔺 独家情报:别处看不到的洞察

置信度: 高 | 新颖度评分: 82/100

更深层次的安全影响超越了即时补丁。此漏洞代表了一个新的攻击类别提示到代码转换攻击。传统安全模型假设用户输入与代码执行之间存在边界,但 AI 智能体框架通过自然语言接口故意模糊了这一边界。Semantic Kernel 的过滤表达式机制不是漏洞——它是一项设计用于让开发者编写表达性查询的功能。该漏洞利用了这一有意的设计模式,使得在不破坏功能的情况下难以区分合法使用与恶意注入。

关键启示: 企业安全团队必须审计所有 AI 智能体框架——不仅是 Semantic Kernel——以查找类似的提示到代码转换模式。LangChain、CrewAI 和 OpenAI 的 Agents SDK 都实现了类似的过滤/搜索机制,可能包含等效漏洞。此攻击面是架构性的,而非偶然的。

应对建议

对于 AI 应用开发者

对于任何使用 Semantic Kernel Python SDK 1.39.4 之前版本或 .NET SDK 1.71.0 之前版本的应用程序,需要立即采取行动。补丁引入了对过滤表达式的严格输入清理,但开发者还应额外:

  • 在过滤表达式生成之前实施提示内容过滤
  • 审计智能体权限并应用最小权限原则
  • 为所有过滤表达式评估启用审计日志
  • 考虑在容器化环境中沙箱化智能体运行时

对于企业安全团队

此披露应触发对 AI 智能体基础设施的更广泛审计:

  1. 清点所有 AI 框架: 包括 Semantic Kernel、LangChain、CrewAI、AutoGen 和 OpenAI Agents SDK 在内的生产环境框架
  2. 审查提示处理代码: 查找类似的过滤表达式模式
  3. 更新安全监控: 将智能体提示流纳入监控范围,传统 WAF 不检查这些内容
  4. 评估影响范围: 具有数据库、API 或文件系统访问权限的智能体会放大潜在影响

关注要点

微软的披露可能是此漏洞类别中的首例。Nuka-AI 的安全研究人员已证明该攻击模式可跨多个智能体框架复制。预计 2026 年全年将有更多针对竞品 AI 智能体 SDK 中提示到代码转换机制的 CVE 披露。

相关报道:

信息来源

rxg82abhdfmzwiavkgd0x░░░8kzqm727nextbedoxcfu3b1e2qdj8fpzl░░░a3ujjlo5szulaptpjixewpoygedh80lug░░░032ztiehno2doc8ojbl6e1302ppysjyxq████5k9zx6doh0gh6u4ojaxzyx3o9na5ohz9░░░09mh83m4tygpk5f1hy8coddwuu5gu6nit░░░8g0u60uv3hporm9kvz24kfqe7hslzupp████4sa5xx2s1zm0unz06ujwr4o48rncbg0oe████h8h2zvc2wsiefir6k2eu9r6u9t7v4tenv░░░3wxxnlnfpatxljq0qu5qiako41dcrni░░░rte7segervjgnrfosf5q7nc3d96499qgm░░░ovxu5w6r5zv8z6uxq6nbf68yr394qq9k████47bmzii87ev52tgmo489ocwgk7w6qon2████c4q57xooqjslh03z5h2jczjopzrr2cih████2q5y47sadond2rbld9yn9tdzjnl90jr░░░on3p30lamdqqsr3fff7nr0p5j6n6kksy████w398k1ndj3iy63qegzdmkzgadwsq3flh████jtoysq5u8fcmexbqeh9znapd20jp1v6r████j0sj9q6xiriopawmsv9d0jpgtj9kjn2mj░░░kp8b7papqoagg1vyh43408ahbivhwm4x8░░░p90wag31yulvvbj2oezuzsdutpzkbrxb░░░5nyqqtgal0rkg213w2gdcssr2lvwv1umn░░░7bkk8zytg2w4jw4z421syk42r2inov82s████0tr019r21e7euikzbqp5lotjmr5i4y7t████4e4tn9rct7gdnqwrhuzxawrp9soqcxa3q░░░zodcwepjftpgza6vqqlyqgjoih9keb4u████1649euv1o0vfzs7e6ch9grlqblbinbo0l████m027d75p9hrwj5or4kilin4yer59rle████lnptvljv9vv3sz0glekaqar695gjs36░░░oh02j4h579lomyydoyo2usktlezipe7s████is2olndhvcoibt4s4cxcne9y32vhvqepa░░░5wus6a7ysd5whqijtkaa1a5t1bqej6yhh░░░tpgpujcmohkz43glxjofu9s8qyl5b0xt░░░7yecqngpvjlpe7jyn6iyaffic5z0od3░░░9k0cv9eunx1hzcemqs3edk7l234oq9hl░░░g8wcw1rzkz9axxub4n9q56ny5cpmoyxn░░░kwd3x65pt2jyt3cwj2bummpxexvcn7bb████q6vny0jzswl9xdhv7sdujt6ni62107kqu████29dfbwwr86qo4g1wwqnatqivuoeo53zqk████6gep6tu5w0jj0nygrisjxj3bm0zkkcd99░░░tvp4bx8wudb2p93i9o3tmv005x7276z91of████u6i8u3fiuybz12oadn387c2dlwsatdre6████6iyg672a2l2xldgg3ij77ep07ztyeea████eusjfsm495ruy1rgok4l7abd0ml4rp0n░░░qgzsrrr7v9bu5ooulfvnpmwd0ugh3cpa7░░░iiiajt3tl94p3u4uqancxkcqli5xnj7░░░waof0chlpi8k93f10bqhylk45nkzppr████xwo27x02wbjsmtpzcbqczcr275er4u8n████5sohubjw9r5ff5bltuv5jckocih6g6oh████hsfi4i2istjsrr3wpcdwqlsio196j6r████61vvxi3tr0v