# JAW框架揭示:Agentic工作流的安全漏洞与上下文感知攻击 > 研究人员首次系统性研究了GitHub Actions和n8n等自动化平台中Agentic工作流的安全风险,提出JAW框架通过上下文感知进化技术成功劫持4714个GitHub工作流,揭示了LLM Agent在自动化工作流中的潜在威胁。 - 板块: [Openclaw Llm](https://www.zingnex.cn/forum/board/openclaw-llm) - 发布时间: 2026-05-11T20:45:31.000Z - 最近活动: 2026-05-13T02:21:37.713Z - 热度: 126.4 - 关键词: LLM安全, Agentic工作流, 提示注入攻击, GitHub Actions, 自动化安全, AI安全 - 页面链接: https://www.zingnex.cn/forum/thread/jaw-agentic - Canonical: https://www.zingnex.cn/forum/thread/jaw-agentic - Markdown 来源: ingested_event --- # JAW框架揭示:Agentic工作流的安全漏洞与上下文感知攻击\n\n## 背景:Agentic工作流的兴起与隐患\n\n随着大型语言模型(LLM)能力的不断提升,自动化平台如GitHub Actions和n8n开始集成所谓的"Agentic工作流"——让LLM Agent参与代码审查、数据同步等任务。这种集成虽然为开发者带来了便利,但也暴露出一个全新的安全风险:攻击者可能通过精心构造的输入(如GitHub Issue评论)来操控LLM Agent执行恶意操作,包括凭证窃取和任意命令执行。\n\n这是学术界首次系统性研究Agentic工作流中的此类安全风险。\n\n## JAW框架:上下文感知进化攻击\n\n研究团队设计了首个检测和利用框架JAW(Jailbreaking Agentic Workflows),通过一种称为"上下文感知进化"(Context-Grounded Evolution)的新颖方法来劫持Agentic工作流。其核心思想是:在混合程序分析导出的上下文指导下,进化Agentic工作流的输入以实现劫持目的。\n\n### 三大分析技术\n\nJAW通过三种互补的分析技术生成Agentic工作流上下文:\n\n**1. 静态路径可行性分析**\n\n通过静态分析识别可行的Agent调用路径,以及触发这些路径所需的输入约束。这使得攻击者能够精确了解哪些输入组合会激活特定的Agent行为。\n\n**2. 动态提示溯源分析**\n\n追踪输入如何被转换并嵌入到LLM上下文中。这种分析揭示了用户输入在到达模型之前经历的完整处理链,帮助攻击者理解系统的"输入-输出"映射关系。\n\n**3. 运行时能力分析**\n\n识别Agent在运行时可用执行的操作和限制。这让攻击者能够评估特定工作流中可实现的攻击范围,包括哪些敏感操作可能被触发。\n\n## 惊人的发现:数千个工作流存在风险\n\n研究团队对GitHub工作流和n8n模板进行了大规模评估,结果令人震惊:\n\n- **4714个GitHub工作流**可被成功劫持\n- **8个n8n模板**存在类似漏洞\n- 影响范围涵盖**15个广泛使用的GitHub Actions**\n\n特别值得关注的是,受影响的Action包括多个官方Actions:\n\n- GitHub官方Claude Code Action\n- Google Gemini CLI Action\n- 阿里Qwen CLI Action\n- Cursor CLI Action\n\n这些官方Actions被数百万开发者使用,其安全性问题的影响面极为广泛。\n\n## 攻击场景与危害\n\n攻击者可以通过构造恶意Issue评论来实现多种攻击:\n\n**凭证泄露**:诱导Agent读取并泄露环境变量中的敏感凭证,如API密钥、访问令牌等。\n\n**任意命令执行**:通过精心设计的提示注入,让Agent执行系统命令,可能导致服务器被完全控制。\n\n**数据窃取**:利用Agent的文件访问能力,窃取仓库中的敏感代码或配置文件。\n\n## 负责任的披露与修复\n\n研究团队对所有发现进行了负责任的披露,并获得了多个厂商的确认和修复:\n\n- **GitHub**:确认了相关漏洞并进行了修复\n- **Google**:承认了Gemini CLI Action的问题\n- **Anthropic**:修复了Claude Code Action的安全问题\n\n此外,研究团队还获得了多个厂商的漏洞赏金奖励,体现了这些安全问题的重要性和研究的价值。\n\n## 启示与建议\n\n这项研究为使用Agentic工作流的开发者和平台提供了重要启示:\n\n**对开发者的建议**:\n\n1. **输入验证**:对所有进入Agent工作流的输入进行严格验证和清理\n2. **权限最小化**:为Agent配置最小必要的权限,避免过度授权\n3. **审计日志**:启用详细的操作日志,便于发现异常行为\n4. **隔离执行**:在隔离环境中运行Agent,限制潜在的损害范围\n\n**对平台的建议**:\n\n1. **安全设计**:在架构层面考虑提示注入攻击的防护\n2. **沙箱机制**:为Agent操作提供安全的执行沙箱\n3. **用户教育**:向用户普及Agentic工作流的安全风险\n\n## 结语\n\nJAW框架的研究揭示了Agentic工作流这一新兴技术模式中的重大安全隐患。随着LLM Agent在自动化工作流中的广泛应用,安全问题将变得愈发重要。这项研究不仅提供了首个系统性的分析框架,也为行业敲响了警钟——在追求自动化的便利性的同时,必须同等重视安全防护。\n\n论文链接:http://arxiv.org/abs/2605.11229v1