Computer-Use 里的 TOCTOU 漏洞
Agent 时代最让人头疼的可能不是逻辑错误,而是这种“时间差”带来的安全隐患。状态检查阶段: Agent 识别到屏幕上的按钮,判断它是安全的(比如“关闭弹窗”)。
攻击介入: 恶意脚本在毫秒级时间内篡改 DOM 或 UI 元素。
实际执行阶段: Agent 以为自己点的是“关闭”,实际上点到了“确认转账”或者“授权权限”。
下一篇
只会用英语做安全评测的模型,在多语言环境下简直就是个筛子。 →
就在这两天看到斯坦福 Real-world AI Security 会议上分享的一个案例,非常有意思。研究员复现了去年 Jun Kokatsu 提到的关于 ChatGPT Operator 的竞态条件(Race Condition)攻击。简单来说,这涉及到一个经典的 TOCTOU(Time-of-Check to Time-of-Use)问题:当 AI Agent 准备执行一个操作时,它看到的界面状态和它真正动手点击的那一瞬间,环境可能已经变了。
对于我们这种搞开发或者接外包的人来说,这事儿挺值得警惕的。如果一个 AI Agent 拥有 Computer-Use 权限(比如能直接操作你的浏览器或桌面),攻击者可以通过极短的时间差,在 Agent “检查”完环境到“执行”动作的缝隙里,把目标元素替换掉。
这种攻击链的逻辑其实很硬核:
这不仅仅是 UI 层的恶作剧,如果涉及到自动化的工作流(Workflow),这种漏洞可能会导致严重的权限越权。
具体的漏洞分析和复现思路可以参考这个路径:
https://github.com/google/security-research/security/advisories/GHSA-mp56-7vrw-qxvf我一直在想,如果以后 AI Agent 成了标配,我们是不是得专门为这种“视觉感知与执行脱节”的情况设计一套校验机制?光靠模型自己“看”是不够的,执行动作前可能还得加一层实时的环境校验。