JAW框架揭示：Agentic工作流的安全漏洞与上下文感知攻击

研究人员首次系统性研究GitHub Actions和n8n等自动化平台中Agentic工作流的安全风险，提出JAW框架通过上下文感知进化技术成功劫持4714个GitHub工作流，揭示LLM Agent在自动化工作流中的潜在威胁。本文将从背景、方法、证据、攻击场景、修复进展及建议等方面展开讨论。

随着大型语言模型（LLM）能力提升，GitHub Actions、n8n等平台集成Agentic工作流（让LLM Agent参与代码审查、数据同步等任务），虽为开发者带来便利，但暴露出新安全风险：攻击者可通过构造输入（如GitHub Issue评论）操控Agent执行恶意操作（凭证窃取、任意命令执行）。这是学术界首次系统性研究此类风险。

研究团队设计JAW（Jailbreaking Agentic Workflows）框架，通过"上下文感知进化"方法劫持Agentic工作流。核心是在混合程序分析导出的上下文指导下进化输入实现劫持。JAW通过三大分析技术生成上下文：1.静态路径可行性分析（识别可行Agent调用路径及输入约束）；2.动态提示溯源分析（追踪输入到LLM上下文的处理链）；3.运行时能力分析（识别Agent可执行操作与限制）。

大规模评估结果：4714个GitHub工作流可被劫持，8个n8n模板存在漏洞，影响15个广泛使用的GitHub Actions，包括GitHub官方Claude Code Action、Google Gemini CLI Action、阿里Qwen CLI Action、Cursor CLI Action等数百万开发者使用的官方Actions。

攻击者可通过构造恶意Issue评论实现：1.凭证泄露（诱导Agent读取泄露环境变量中的API密钥、访问令牌等）；2.任意命令执行（提示注入让Agent执行系统命令，可能控制服务器）；3.数据窃取（利用Agent文件访问能力窃取仓库敏感代码或配置）。

研究团队进行负责任披露，获得多个厂商确认与修复：GitHub确认并修复相关漏洞，Google承认Gemini CLI Action问题，Anthropic修复Claude Code Action安全问题。团队还获得多个厂商漏洞赏金奖励。

开发者建议：1.严格验证清理进入Agent工作流的输入；2.为Agent配置最小必要权限；3.启用详细审计日志；4.在隔离环境运行Agent。\n平台建议：1.架构层面考虑提示注入防护；2.提供Agent操作安全沙箱；3.向用户普及安全风险。

JAW框架研究揭示Agentic工作流的重大安全隐患。随着LLM Agent在自动化工作流中广泛应用，安全问题愈发重要。本研究提供首个系统性分析框架，为行业敲响警钟：追求自动化便利时需同等重视安全防护。\n论文链接：http://arxiv.org/abs/2605.11229v1