郭震 AI公众号:郭震AI

实时 AI 消息

安全研究员验证Trae AI插件市场存在"毒巢"后门问题,部分恶意插件持续更新难以清除

安全研究员Cos(@evilcos)验证发现,Trae AI插件市场中存在"毒巢"式后门问题,部分含有后门的插件具有极强的生存能力,能够持续更新并留在市场中。这一发现暴露了AI智能体插件生态系统中严重的安全漏洞。

发布时间
安全研究员验证Trae AI插件市场存在"毒巢"后门问题,部分恶意插件持续更新难以清除
图源: traecn.ai-kit.cn

安全研究员Cos(@evilcos)日前验证发现,Trae AI的插件市场存在严重的"毒巢"(Poison Nest)后门问题。所谓"毒巢",是指插件市场中存在一批含有恶意后门的插件,这些插件具有极强的韧性,能够持续获得更新并长期驻留在市场中,难以被彻底清除。

Trae AI此前主要作为一款AI代理工具被开发者广泛使用,其插件市场承载着大量第三方开发的扩展功能。Cos的验证结果显示,这些后门插件的存在意味着开发者和普通用户在使用Trae插件时,面临数据窃取、系统被远程控制等严重安全风险。

这起事件本质上是AI行业供应链安全问题的又一次集中爆发。此前,浏览器扩展和开源软件就曾多次被植入后门,而AI智能体插件的兴起放大了这一风险——插件能够读取用户上下文、访问文件系统甚至执行代码,一旦被恶意利用,危害范围远超传统软件插件。

目前,Trae平台正面临信任危机。插件市场的审核机制是否足够严格、已识别的后门插件是否已被下架、平台将如何修补安全漏洞,都是用户和开发商密切关注的焦点。

从行业影响来看,这一事件可能推动AI插件市场从开放的第三方生态向更加中心化审核或去中心化验证的方向演进。安全审计工具和可信插件市场将因此获得更多资本和用户关注,而现行的插件供应链标准也有望加速规范化。

值得注意的是,AI智能体生态目前仍处于安全治理的早期阶段。类似Trae插件后门的事件未来可能在其他AI平台上重复出现,如何建立有效的插件安全审查机制、如何在开放与安全之间取得平衡,将成为整个行业必须面对的长期课题。

为什么重要

Trae AI插件市场的后门漏洞暴露了AI智能体生态在供应链安全方面的脆弱性,可能推动行业加速建立插件安全审查标准和可信机制。

微博邮件

TraeAI SecurityPlugin Supply Chain
返回实时消息

附近消息

全部