微软披露严重漏洞:提示词注入可触发远程代码执行
CVE-2026-26030 漏洞(CVSS 评分 9.8)使攻击者能够通过提示注入技术在 Semantic Kernel 框架中执行任意远程代码。该漏洞影响所有版本低于 1.39.4 的 Python SDK 和 1.71.0 的 .NET SDK,使用该框架构建 AI 智能体应用的开发团队需立即升级以修复安全风险。
TL;DR
微软披露 CVE-2026-26030(CVSS 9.8),这是 Semantic Kernel Python SDK 中的一个严重远程代码执行漏洞,攻击者可通过向量存储过滤表达式中的提示注入执行任意代码。该漏洞影响 1.39.4 之前的所有版本,直接攻击 AI 智能体基础设施而非 Web 端点。
核心细节
- 受影响方: 微软安全响应中心,影响 Semantic Kernel SDK 用户
- 事件性质: 严重远程代码执行漏洞(CVSS 9.8),可通过提示注入实现任意代码执行
- 时间线: 2026 年 5 月 7 日披露;补丁已立即发布
- 影响范围: 所有使用 Semantic Kernel Python SDK < 1.39.4 或 .NET SDK < 1.71.0 的 AI 应用
事件概述
微软安全响应中心披露了 Semantic Kernel 中的一个严重远程代码执行漏洞,Semantic Kernel 是微软开源的用于构建 AI 智能体的软件开发工具包(SDK)。CVE-2026-26030 的 CVSS 严重性评分为 9.8 分(满分 10 分),是 2026 年披露的最严重的 AI 框架漏洞之一。
该漏洞位于 InMemoryVectorStore 组件中,恶意过滤表达式可通过用户提示注入。与针对 Web 应用端点的传统注入攻击不同,此攻击链通过智能体内部的过滤解析逻辑将自然语言输入转换为可执行的 Python 代码。
“成功利用此漏洞的攻击者可在应用程序上下文中运行任意代码,“微软在其安全公告中表示,“这可能允许攻击者安装程序、查看、更改或删除数据,或创建具有完整用户权限的新账户。”
第二个漏洞 CVE-2026-25592 影响 .NET SDK,是一个路径遍历缺陷。两个漏洞已在 Semantic Kernel Python 版本 1.39.4 和 .NET 版本 1.71.0 中修复,补丁随披露同步发布。
来自 Nuka-AI 的安全研究人员披露了 2 月份初始补丁的多个绕过向量,促使 5 月份的披露和额外的加固措施。
影响分析
该攻击链机制将此漏洞与传统 Web 安全威胁区分开来:
| 攻击向量 | 传统 XSS | Semantic Kernel 远程代码执行 |
|---|---|---|
| 入口点 | Web 表单输入 | 智能体提示输入 |
| 目标层 | 浏览器 DOM | Python/.NET 运行时 |
| 执行上下文 | 客户端 JavaScript | 服务端代码 |
| 影响范围 | 用户会话 | 应用服务器 |
| 利用复杂度 | 中等 | 低 |
攻击链分解:
- 提示输入: 攻击者构造包含恶意过滤语法的自然语言提示
- 过滤表达式: 提示被传递给
InMemoryVectorStore.filter()而未经适当清理 - 代码执行: 过滤表达式通过
eval()或等效方法作为 Python 代码执行 - 运行时访问: 攻击者获得托管 AI 智能体的服务器上的任意代码执行权限
此漏洞类别特别令人担忧的原因:
- 无需绕过输入验证: 过滤表达式语法是预期功能,使检测变得困难
- 智能体特定攻击面: 传统 WAF 规则不检查智能体提示流
- 高信任上下文: AI 智能体通常以提升的权限运行,以访问工具、API 和数据库
- 供应链影响: 在生产智能体中嵌入 Semantic Kernel 的组织面临直接暴露风险
根据微软安全博客,对于接受不可信提示的应用程序(包括大多数面向客户的 AI 智能体部署),此攻击无需身份验证。
🔺 独家情报:别处看不到的洞察
置信度: 高 | 新颖度评分: 82/100
更深层次的安全影响超越了即时补丁。此漏洞代表了一个新的攻击类别:提示到代码转换攻击。传统安全模型假设用户输入与代码执行之间存在边界,但 AI 智能体框架通过自然语言接口故意模糊了这一边界。Semantic Kernel 的过滤表达式机制不是漏洞——它是一项设计用于让开发者编写表达性查询的功能。该漏洞利用了这一有意的设计模式,使得在不破坏功能的情况下难以区分合法使用与恶意注入。
关键启示: 企业安全团队必须审计所有 AI 智能体框架——不仅是 Semantic Kernel——以查找类似的提示到代码转换模式。LangChain、CrewAI 和 OpenAI 的 Agents SDK 都实现了类似的过滤/搜索机制,可能包含等效漏洞。此攻击面是架构性的,而非偶然的。
应对建议
对于 AI 应用开发者
对于任何使用 Semantic Kernel Python SDK 1.39.4 之前版本或 .NET SDK 1.71.0 之前版本的应用程序,需要立即采取行动。补丁引入了对过滤表达式的严格输入清理,但开发者还应额外:
- 在过滤表达式生成之前实施提示内容过滤
- 审计智能体权限并应用最小权限原则
- 为所有过滤表达式评估启用审计日志
- 考虑在容器化环境中沙箱化智能体运行时
对于企业安全团队
此披露应触发对 AI 智能体基础设施的更广泛审计:
- 清点所有 AI 框架: 包括 Semantic Kernel、LangChain、CrewAI、AutoGen 和 OpenAI Agents SDK 在内的生产环境框架
- 审查提示处理代码: 查找类似的过滤表达式模式
- 更新安全监控: 将智能体提示流纳入监控范围,传统 WAF 不检查这些内容
- 评估影响范围: 具有数据库、API 或文件系统访问权限的智能体会放大潜在影响
关注要点
微软的披露可能是此漏洞类别中的首例。Nuka-AI 的安全研究人员已证明该攻击模式可跨多个智能体框架复制。预计 2026 年全年将有更多针对竞品 AI 智能体 SDK 中提示到代码转换机制的 CVE 披露。
相关报道:
- NVIDIA Rubin 平台:六芯片架构,Token 成本降低 10 倍 — AI 部署经济性的基础设施影响
- LangCrew:基于 LangGraph 的高级多智能体框架 — 智能体开发的替代框架比较
信息来源
- Microsoft Security Blog: Prompts Become Shells — 微软,2026 年 5 月 7 日
- Vibe Graveyard: Semantic Kernel Prompt Injection RCE — 安全研究分析,2026 年 5 月
- Windows News: CVE-2026-26030 Critical RCE — 技术分析,2026 年 5 月
微软披露严重漏洞:提示词注入可触发远程代码执行
CVE-2026-26030 漏洞(CVSS 评分 9.8)使攻击者能够通过提示注入技术在 Semantic Kernel 框架中执行任意远程代码。该漏洞影响所有版本低于 1.39.4 的 Python SDK 和 1.71.0 的 .NET SDK,使用该框架构建 AI 智能体应用的开发团队需立即升级以修复安全风险。
TL;DR
微软披露 CVE-2026-26030(CVSS 9.8),这是 Semantic Kernel Python SDK 中的一个严重远程代码执行漏洞,攻击者可通过向量存储过滤表达式中的提示注入执行任意代码。该漏洞影响 1.39.4 之前的所有版本,直接攻击 AI 智能体基础设施而非 Web 端点。
核心细节
- 受影响方: 微软安全响应中心,影响 Semantic Kernel SDK 用户
- 事件性质: 严重远程代码执行漏洞(CVSS 9.8),可通过提示注入实现任意代码执行
- 时间线: 2026 年 5 月 7 日披露;补丁已立即发布
- 影响范围: 所有使用 Semantic Kernel Python SDK < 1.39.4 或 .NET SDK < 1.71.0 的 AI 应用
事件概述
微软安全响应中心披露了 Semantic Kernel 中的一个严重远程代码执行漏洞,Semantic Kernel 是微软开源的用于构建 AI 智能体的软件开发工具包(SDK)。CVE-2026-26030 的 CVSS 严重性评分为 9.8 分(满分 10 分),是 2026 年披露的最严重的 AI 框架漏洞之一。
该漏洞位于 InMemoryVectorStore 组件中,恶意过滤表达式可通过用户提示注入。与针对 Web 应用端点的传统注入攻击不同,此攻击链通过智能体内部的过滤解析逻辑将自然语言输入转换为可执行的 Python 代码。
“成功利用此漏洞的攻击者可在应用程序上下文中运行任意代码,“微软在其安全公告中表示,“这可能允许攻击者安装程序、查看、更改或删除数据,或创建具有完整用户权限的新账户。”
第二个漏洞 CVE-2026-25592 影响 .NET SDK,是一个路径遍历缺陷。两个漏洞已在 Semantic Kernel Python 版本 1.39.4 和 .NET 版本 1.71.0 中修复,补丁随披露同步发布。
来自 Nuka-AI 的安全研究人员披露了 2 月份初始补丁的多个绕过向量,促使 5 月份的披露和额外的加固措施。
影响分析
该攻击链机制将此漏洞与传统 Web 安全威胁区分开来:
| 攻击向量 | 传统 XSS | Semantic Kernel 远程代码执行 |
|---|---|---|
| 入口点 | Web 表单输入 | 智能体提示输入 |
| 目标层 | 浏览器 DOM | Python/.NET 运行时 |
| 执行上下文 | 客户端 JavaScript | 服务端代码 |
| 影响范围 | 用户会话 | 应用服务器 |
| 利用复杂度 | 中等 | 低 |
攻击链分解:
- 提示输入: 攻击者构造包含恶意过滤语法的自然语言提示
- 过滤表达式: 提示被传递给
InMemoryVectorStore.filter()而未经适当清理 - 代码执行: 过滤表达式通过
eval()或等效方法作为 Python 代码执行 - 运行时访问: 攻击者获得托管 AI 智能体的服务器上的任意代码执行权限
此漏洞类别特别令人担忧的原因:
- 无需绕过输入验证: 过滤表达式语法是预期功能,使检测变得困难
- 智能体特定攻击面: 传统 WAF 规则不检查智能体提示流
- 高信任上下文: AI 智能体通常以提升的权限运行,以访问工具、API 和数据库
- 供应链影响: 在生产智能体中嵌入 Semantic Kernel 的组织面临直接暴露风险
根据微软安全博客,对于接受不可信提示的应用程序(包括大多数面向客户的 AI 智能体部署),此攻击无需身份验证。
🔺 独家情报:别处看不到的洞察
置信度: 高 | 新颖度评分: 82/100
更深层次的安全影响超越了即时补丁。此漏洞代表了一个新的攻击类别:提示到代码转换攻击。传统安全模型假设用户输入与代码执行之间存在边界,但 AI 智能体框架通过自然语言接口故意模糊了这一边界。Semantic Kernel 的过滤表达式机制不是漏洞——它是一项设计用于让开发者编写表达性查询的功能。该漏洞利用了这一有意的设计模式,使得在不破坏功能的情况下难以区分合法使用与恶意注入。
关键启示: 企业安全团队必须审计所有 AI 智能体框架——不仅是 Semantic Kernel——以查找类似的提示到代码转换模式。LangChain、CrewAI 和 OpenAI 的 Agents SDK 都实现了类似的过滤/搜索机制,可能包含等效漏洞。此攻击面是架构性的,而非偶然的。
应对建议
对于 AI 应用开发者
对于任何使用 Semantic Kernel Python SDK 1.39.4 之前版本或 .NET SDK 1.71.0 之前版本的应用程序,需要立即采取行动。补丁引入了对过滤表达式的严格输入清理,但开发者还应额外:
- 在过滤表达式生成之前实施提示内容过滤
- 审计智能体权限并应用最小权限原则
- 为所有过滤表达式评估启用审计日志
- 考虑在容器化环境中沙箱化智能体运行时
对于企业安全团队
此披露应触发对 AI 智能体基础设施的更广泛审计:
- 清点所有 AI 框架: 包括 Semantic Kernel、LangChain、CrewAI、AutoGen 和 OpenAI Agents SDK 在内的生产环境框架
- 审查提示处理代码: 查找类似的过滤表达式模式
- 更新安全监控: 将智能体提示流纳入监控范围,传统 WAF 不检查这些内容
- 评估影响范围: 具有数据库、API 或文件系统访问权限的智能体会放大潜在影响
关注要点
微软的披露可能是此漏洞类别中的首例。Nuka-AI 的安全研究人员已证明该攻击模式可跨多个智能体框架复制。预计 2026 年全年将有更多针对竞品 AI 智能体 SDK 中提示到代码转换机制的 CVE 披露。
相关报道:
- NVIDIA Rubin 平台:六芯片架构,Token 成本降低 10 倍 — AI 部署经济性的基础设施影响
- LangCrew:基于 LangGraph 的高级多智能体框架 — 智能体开发的替代框架比较
信息来源
- Microsoft Security Blog: Prompts Become Shells — 微软,2026 年 5 月 7 日
- Vibe Graveyard: Semantic Kernel Prompt Injection RCE — 安全研究分析,2026 年 5 月
- Windows News: CVE-2026-26030 Critical RCE — 技术分析,2026 年 5 月
相关情报
MCP 生态系统周报:企业级平台入场,游戏开发工具首现生态
MCP 生态系统扩展至 401 个仓库,Unity 工具作为新类别首次出现。来自 IBM 和 Stacklok 的企业级平台标志着 MCP 协议正从实验性项目走向生产就绪的基础设施层面。本周追踪 30 个顶级仓库的详细数据。
MCP 生态系统周度追踪报告:2026 年 5 月第二周开发工具生态数据快照
MCP 生态系统本周快速扩展至 392 个标记仓库,周环比增长 33 个新仓库。社区实现项目 FastMCP 达到 25,009 颗星标,官方 MCP 服务器仓库累计达到 85,093 颗星标。TypeScript 和 Python 两种编程语言占据主导地位,Unity 游戏开发领域作为新的垂直类别首次出现于榜单。
Cursor 3 发布智能体优先架构,后台智能体实现自动编程
Cursor 3 于 2026 年 4 月 2 日发布,采用智能体优先的界面重设计。Composer 2.0 在 CursorBench 基准测试中得分 61.3 分(较前版提升 39%),通过定制 GPU 内核实现每秒 200+ tokens 的输出速度。后台智能体和云智能体功能支持用户离线时的全自主编程工作流。