MS‑Agent 命令注入漏洞CVE-2026-2256

ModelScope ms-agent（简称MS‑Agent） 是阿里巴巴魔搭社区（ModelScope）推出的一款轻量级、模块化、开源 AI 智能体开发框架。

一、基本情况

MS‑Agent 主打自主探索、工具调用、多智能体协作，让开发者快速构建自主完成复杂任务 LLM 智能体，旨在简化 AI Agent 构建过程。

这款轻量、可扩展的智能体框架，支持自主规划、工具调用、多智能体协作，兼容Anthropic Skills 与 MCP（Model Calling Protocol）。

栋科技漏洞库关注到MS‑Agent框架中存在的命令注入漏洞，该安全漏洞现在已经被追踪为CVE-2026-2256，漏洞CVSS 3.X评分为6.5。

二、漏洞分析

CVE-2026-2256是MS‑Agent 在处理工具调用（Tool Call）逻辑时，未能对大模型生成的参数进行有效安全过滤或转义导致的安全漏洞。

MS-Agent 框架内置了名为Shell tool的功能，该功能本质上赋予 AI直接向操作系统执行命令权限，而此次风险源于 AI 处理信息的机制。

MS-Agent 编写了名为 check_safe() 的校验代码，这道 “安全门卫” 依赖的黑名单机制是：列出已知恶意词汇与高危命令，禁止 AI 执行。

check_safe () 方法基于正则表达式黑名单，不足以防御命令注入，过滤机制天生脆弱，极易通过编码、命令混淆或另类Shell 法绕过。

简易黑名单机制无法阻挡有备的攻击者，只需对恶意命令稍加混淆或伪装即可绕过安全校验，使得AI误认为在正常执行任务运行指令。

而且，若智能体被要求读取文档、总结网页内容，或交互的对话提示被攻击者暗中植入隐藏指令，AI 就很可能盲目执行这些隐藏命令。

因此，聪明的攻击者只需通过精心构造的 Prompt（或利用间接 Prompt 注入攻击）诱导模型生成包含 shell 特殊字符的工具调用指令。

将恶意输入传递执行后，即可在运行 Agent 的服务器执行任意操作系统命令，导致系统被完全控制、数据泄露或被作为内网渗透跳板。

这意味着，AI 被允许执行的所有操作，攻击者均可照做，攻击者可通过精心构造的文本内容劫持 AI 智能体，进而控制底层计算机系统。

三、POC概念验证

这个简化的PoC展示了如何绕过ms代理的Shell工具中的check_safe（）函数，使用Python建立反向Shell。

先决条件

Python 3

nc（netcat）

1、首次运行（检查旁路）

运行PoC以验证该命令是否绕过安全检查。预期产量：✓ BYPASS SUCCESSFUL - the command passes all security checks

2、设置侦听器（新终端窗口）

打开一个新的终端窗口并运行：

nc -l 1111

这将在端口1111上启动一个侦听器。让这个终端打开并等待。

3、执行反向Shell（原始终端）

在原始终端中，运行：

管理员已设置登录后刷新可查看

出现提示时，键入yes并按Enter键。

4、验证连接

切换到带有netcat侦听器的终端（从步骤2开始）。现在你应该有一个shell提示符了！

尝试以下命令：

whoami-查看您的用户名

pwd-查看当前目录

ls-列表文件

exit-关闭连接

5、发生什么？

旁路技术：使用python3执行任意代码

为什么有效：python3不在被阻止的命令列表中

安全影响：尽管进行了安全检查，但命令仍能完全执行

6、脆弱性

check_safe()函数阻止以下命令：sudo、rm-rf/、chmod、curl | bash等。

但它不会阻止：

python3（任意代码执行）

nc（netcat-网络连接）

perl、ruby、node（其他解释器）

7、主要发现

这表明了一个关键漏洞：

✗ 危险命令阻止列表不完整

✗ Python可以执行任意代码

✗ 可以绕过所有安全检查

✗ 实现完全反向shell访问

8、清理

测试后，您可以删除测试目录：

rm-rf/tmp/test_output

备注：这是一个仅限本地主机的演示（连接到127.0.0.1）。此PoC有意避免远程连接，以降低滥用风险。

四、影响范围

ModelScope ms-agent <= v1.6.0rc1

五、修复建议

未知

六、参考链接

管理员已设置登录后刷新可查看