AI-Infra-Guard:把 agent 攻擊面切成四層的開源紅隊框架
模型服務引擎、agent 平台、MCP 生態、模型本體——開源 AI 基礎設施這兩年的膨脹速度,把安全工具遠遠甩在後面。AI-Infra-Guard 是一個開源紅隊框架,核心觀察一句話講完:AI agent 的攻擊面是分層的,而且每一層需要的偵測範式完全不同。
框架切出四層:最底層是基礎設施(serving 引擎、容器、網路),往上是協定與工具層(MCP 伺服器、工具呼叫),再上是 agent 行為層(提示注入、目標劫持),最上是模型層(越獄、後門)。用掃 CVE 的思維抓提示注入會空手而歸,用越獄評測的思維查 MCP 伺服器組態同樣白工——分層之後,每層配對應的武器。
時機抓得很準。本站第 27 期才報導 YouTube Studio 的 AI 助理被一則留言注入、騙走用戶的私人影片清單,Google 回應「不算漏洞」——正是因為業界對「哪一層的問題該由誰負責」還沒有共識。有一個開源框架把分層講清楚,至少讓資安團隊跟平台吵架時有共同語言。
MCP 生態的安全工具尤其稀缺:協定本身年輕、伺服器實作良莠不齊、供應鏈信任機制近乎裸奔。第三方 MCP 伺服器的下載量以百萬計,對照第 26 期報導的 Mythos 高危漏洞揭露暴增,攻擊者顯然已經開工,防守方的工具箱才剛出廠。
歸剛點評|公司如果已經在用 Claude Code、MCP 伺服器或任何 agent 平台,四層攻擊面就是現成的稽核清單:每一層問一次「這層誰在看?」。多數團隊會發現協定與工具層完全沒人守——第三方 MCP 伺服器裝了就用,等於把工具權限交給陌生人的 GitHub repo。