【AI早读 0527】Agent安全
摘要
今天围绕 Agent 安全与运行基础设施展开:Copilot Cowork 被披露可通过间接 Prompt 注入外泄文件;AWS 从 AgentWatch、AgentCore Memory 到多 Agent 运行时持续补齐平台能力;Agent Gravity 则提出一个关键问题:未来究竟由谁来运行你的 Agent?
Agent 安全之痛:Copilot Cowork 文件泄露
PromptArmor 的研究人员披露了一个针对 Microsoft Copilot Cowork 的高危攻击链 - 通过间接 prompt 注入实现文件外泄。这个攻击对包括 Claude Opus 4.7 在内的前沿模型都取得了很高的成功率。
问题的核心在于 Copilot Cowork 的权限设计:当 Agent 发送邮件或 Teams 消息给自己时,系统不会要求人工审批。这些消息中可以嵌入外部图片,一旦用户在 Outlook 或 Teams 中打开被篡改的消息,图片加载请求就会触发网络调用,将数据外泄到攻击者控制的服务器。更严重的是,OneDrive 可以提供预认证的下载链接 - 拿到链接就等于拿到了文件。
攻击流程很典型:用户从网上下载了一个恶意 skill 文件上传到 Copilot Cowork,然后正常使用 Agent 处理周报。Prompt 注入让 Agent 检索文件并生成 Teams 消息 - 消息里嵌入的 HTML img 标签将预认证链接作为查询参数传给攻击者。全程无需用户二次确认,Agent 的自动执行权限已经足够完成整个攻击链。
Microsoft 在文档中写到“Copilot Cowork 在执行敏感操作前会征求你的许可”,但给自己发消息被内部排除在“敏感操作”之外,用户也没有任何设置可以改变这一行为。这是系统级的设计缺陷,不是代码层面的 bug。
链接:Microsoft Copilot Cowork Exfiltrates Files
多层防御:AgentWatch 与 AgentCore 生态
AWS 在同一天发布了多条相关的更新,构建了一个从底层基础设施到应用层的完整 Agent 生态。最值得关注的是 AgentWatch - 一个“环境级”(ambient)AWS 资源监控 Agent。
AgentWatch 的思路很有意思:它不等人来查监控面板,而是持续观察基础设施、分析模式、在真正需要人工判断的时候才把人拉进来。CloudWatch 报警往往在故障发生后才触发,Lambda 错误无声积累,EC2 性能劣化直到用户投诉才被发现 - AgentWatch 试图把团队从这种被动灭火循环中解放出来。
与此同时,AWS 还发布了 LangGraph 多 Agent 系统与 Bedrock AgentCore 的集成方案,以及 AgentCore Memory 和 Observability 的深度结合。AgentCore 不再是单一的能力模块,而是朝着“Agent 运行时平台”的方向在演变 - 有记忆层、有可观测性、有支付集成(AgentCore payments),甚至可以与 NVIDIA NIM 配合在 Agent 端跑高性能推理。
链接:AgentWatch: Proactive AWS monitoring with ambient agents
链接:Build highly scalable serverless LangGraph multi-agent systems in AWS with Amazon Bedrock AgentCore
Agent Gravity:谁在运行你的 Agent?
Tomasz Tunguz 提出了一个很有意思的概念 - Agent Gravity(Agent 引力)。如果数据引力是“数据十年”最重要的力量,那么 Agent 引力将是“Agent 十年”的核心动力。
起因是 Databricks 在微软平台上发布了一个新功能 - 它本质上是让 Power BI 客户更方便地在 Databricks 上管理数据和构建 AI Agent,而不是用微软自家的 Fabric。Tunguz 点出了一个更深层的问题:当用户通过 Agent 操作数据管道时,Agent 本身会做出运行时决策 - 在哪里执行、在哪里处理数据。这个决策权如果被 Agent 掌握或由用户无意识地让渡,就会触发平台之间的数据迁移。
“用户在有意识或无意识之间,就能把利润丰厚的 Agent 工作负载和数据仓库工作负载迁移到另一个平台。”这既是机会也是风险 - 谁控制了 Agent 的运行时环境,谁就掌握了下一个十年的平台话语权。
链接:Agent Gravity: Who's Running Your Agents
简讯
- Nvidia 财报:Ben Thompson 在 Stratechery 分析 Nvidia 正在改变财报披露结构 - 将超大规模客户的销售与其他客户细分开来,前者面临商品化竞争,后者 Nvidia 仍是全栈掌控。链接:Nvidia Earnings, The AI Stack
- Codex CLI 0.134.0:OpenAI 发布了 Codex CLI 的新版本,持续迭代开发者工具链。链接:Codex CLI Release 0.134.0
- Gemini for Science:Google DeepMind 发布了“Gemini for Science”的短视频预告,将 AI 科研助手作为新方向。链接:Gemini for Science
- LWiAI Podcast #246:话题包括 Gemini 3.5 + Omni、Musk 败诉等。链接:LWiAI Podcast #246
来源:VerySmallWoods Research Feed - 2026-05-26 UTC
相关文章
2026年6月19日
【AI早读0619】GLM-5.2登顶开源,智能体安全框架密集发布
GLM-5.2 以 753B MoE、百万 token 上下文和 IndexShare 稀疏注意力机制登顶开放权重模型;Google DeepMind 发布 AI Control 路线图,Amazon Bedrock AgentCore 正式 GA,智能体安全与运行基础设施同步加速。
2026年6月17日
【AI早读 0617】模拟部署预测模型安全,OpenAI 发布 Deployment Simulation
OpenAI 发布 Deployment Simulation,用真实对话分布模拟新模型上线后的行为,在发布前预测安全风险;Martin Fowler 网站则通过 Bayer 的 PRINCE 案例,总结 Context Discipline 与 Harness Engineering 如何提升 Agentic RAG 系统可靠性。
2026年6月16日
【AI早读 0616】Agent 故障诊断与深度代理架构
今天三篇 AWS importance 5 的博客串成一条线:Strands Evals SDK 用 Detector 自动分析 Agent 的执行轨迹,给出故障分类、因果链和具体修复建议,把“诊断瓶颈”从人工压成自动化;LangChain Deep Agents + Bedrock AgentCore 用“委派 - 隔离 - 汇总”的子 Agent 架构构建研究代理,每个子 Agent 跑在自己的 MicroVM 里;Google DeepMind 的 Gemma 4 系列正式登陆 Amazon Bedrock,主打 intelligence-per-parameter。
最近一封 · Sample
【AI早读 0620】AI Agent 重塑软件生命周期
“Google 的新软件生命周期白皮书把 Agent 定义为“模型加 harness”,强调 Context Engineering、验证和渐进式披露;多篇实践进一步展示 Agent 如何从写代码延伸到部署、数据分析、信息检索和云平台运维。”
—— william
来信
里面装的是
- 新文章 — 写完一篇就寄一封,不攒货
- 这周读到的、看到的、好用的工具
- 正在折腾的实验,附带翻车记录
约莫 1–2 周一封 · 随时退订
合作伙伴
CompeteMap — 英国及爱尔兰学生竞赛一站式搜索
数学、编程、科学、写作等各类竞赛信息汇总,支持按年龄和科目筛选,再也不错过报名截止日。