一幅呈现 AI 助手与安全泄露相撞的视觉图:代码编辑器界面中,一个友好的 AI 聊天气泡表面出现龟裂,裂缝之下露出具有破坏性的命令。
Artificial IntelligenceCybersecuritySoftware Engineering

2025 年的 AI 安全泄露事件揭穿了一个万亿美元的谎言——而我构建了替代方案

Ashutosh SinghalAshutosh Singhal2026年4月21日13 min

GitHub Copilot 的 RCE 漏洞披露发布时,我正在和一家中型金融服务公司的 CISO 通话。我们的话说到一半——他正在解释他的团队为什么刚刚把 Copilot 推广给 400 名开发者——我看着他的 Slack 消息不断跳出,他的脸色也随之变了。他把自己静音了。九十秒后回来,非常轻声地说:“你能解释一下 CVE-2025-53773 对我们意味着什么吗?”

它的含义是:植入 README 文件中的一条隐藏指令——一个文本文件——就能在每一台运行 Copilot 的开发者工作站上升级为完整的远程代码执行。不是通过缓冲区溢出。不是通过内核里的零日漏洞。而是通过一场对话,对象是一个 AI 助手。

那通电话改变了我接下来六个月的轨迹。但说实话,征兆已经出现了一年多。

我是 Ashutosh,Veriprajna 的创始人——这个名字源自拉丁语的Veri(真理)与梵语的Prajna(智慧)。我们构建的是我称之为 Deep AI 的东西:设计上确定、要求上可审计、基础设施上主权自主的系统。我们不做套壳。而 2025 年以灾难性的方式证明了,这一区别为何至关重要。

套壳经济注定会崩塌

大约有两年时间,企业 AI 市场运行在一个诱人的前提之上:拿一个基础模型——GPT-4, Claude, Gemini——在外面包一层漂亮的界面,加一点提示词工程,然后当作“解决方案”卖出去。成千上万家初创公司做的正是这件事。其中很多凭此募到了大笔资金。

我理解它的吸引力。做出演示的速度快得惊人。一周之内,你就能向董事会展示一个“理解”他们业务的 AI。但我一直在问一个让我在行业活动上不受欢迎的问题:当这东西带着真实权限、在真实基础设施上跑进生产环境时,会发生什么?

答案在 2025 年到来了,而且来得异常猛烈。

三起事件——GitHub Copilot 的远程代码执行漏洞、通过微软 Bing 缓存造成的“僵尸数据”泄露,以及 Amazon Q 的供应链投毒——合计影响了超过 16,000 家组织和近百万名开发者。这些不是边缘案例。它们是可预见的后果——把概率性系统当作确定性基础设施来部署所造成的。

当 AI 以拥有管理员权限、且不受监控的代理身份运行时,它的故障会以基础设施的速度扩散。

关于这些泄露事件完整的技术解剖,我写在了我们研究的交互式版本里。但真正让我夜不能寐的,是数字背后的故事。

当提示词变成武器时会发生什么?

一张逐步展示攻击链的示意图,精确呈现 CVE-2025-53773 如何从 README 中一条隐藏的文本指令,升级为开发者工作站上的完整远程代码执行。

让我带你走一遍 Copilot 这起事件,因为它的运作机制确实令人不寒而栗。

CVE-2025-53773 在 CVSS 严重性评分上得到 7.8 分——“高危”。这一漏洞类别,业界不得不为它发明一个新名字:Prompt-to-RCE。语言指令向二进制代码执行的升级。

它是这样运作的。攻击者把一条隐藏指令——一次跨提示词注入——植入 README 文件、代码注释,甚至一个 GitHub issue 里。视觉上毫无可疑之处。当开发者让 Copilot“审查这段代码”或“解释这个项目”时,AI 就会摄入那些隐藏指令。随后它会修改工作区配置文件,具体来说是加上这样一行:"chat.tools.autoApprove": true

安全社区开始把这称为“YOLO 模式”。一旦启用,这个 AI 助手就能执行 shell 命令、浏览网页、与本地文件系统交互——而且完全不需要向开发者请求许可。在此之后,下载恶意软件、外泄凭证,或者把工作站拉进僵尸网络,都是轻而易举的事。

我记得读完完整披露后,我坐在办公室里,转向我们的首席安全工程师说:“这不是一个 bug。这是按设计运转的架构。”这个 AI 被赋予了自主行动权。它被赋予了权限。而没有人建造出一个能对足够有说服力的提示词说“不”的系统。

这正是一直缠着我不放的部分。传统的访问控制假定行为主体要么是人,要么是行为固定的软件。而 AI 代理两者都不是。它继承了用户的全部权限,却会对语言操纵作出反应。这就像把家门钥匙交给某个人,然后在骗子三言两语说服他开门时感到惊讶。

死掉的数据为什么会复活?

第二起泄露事件更为离奇,在某些方面也更令人不安。

2025 年 2 月,Lasso Security 的研究人员发现,微软的 Copilot 会把那些已被设为私有或已被删除的 GitHub 仓库中的数据重新呈现出来——有些仓库几个月前就已处理。他们把它称为“僵尸数据”,这个名字流传了下来,因为它很准确。这些数据本该已经死亡。但它们没有。

其机制简单得几乎令人尴尬。Bing 的搜索引擎抓取并缓存了成千上万个公开仓库。当这些仓库后来被设为私有时——通常是因为有人意识到自己不小心提交了 API 密钥、内部文档或专有代码——缓存版本仍然留存在 Bing 的检索增强生成(RAG)系统里。任何使用 Copilot 的人都能查询到那些据称已被删除的信息。

暴露范围令人震惊:IBM、Google、腾讯和 PayPal 的私有仓库。超过 300 个被提取出的私有令牌和 API 密钥,涉及 AWS、GCP、OpenAI、Hugging Face 等服务。100 多个内部软件包存在依赖混淆攻击的风险。

大约在那段时间,我和一位潜在客户聊过——某家医疗公司的工程副总裁——他告诉我,他的团队“该做的都做对了”。他们轮换了凭证、把仓库设为私有、按手册走了一遍流程。而这一切都无济于事,因为 AI 的记忆比他们的安全响应更长久。

在套壳模式下,数据主权与 AI 的便利性从根本上相互冲突。当你的 AI 的上下文窗口就是别人的搜索缓存时,你无法掌控自己数据的生命周期。

正是这起泄露事件,让我争论了一段时间的一个观点变得清晰起来:如果你的 AI 依赖第三方检索系统——公开搜索引擎、外部 API、别人的索引——那么你已经失去了对自己数据的控制。你的内部策略再好也没用。数据存在于你够不到的地方,躺在你无法清除的缓存里,为你从未授权过的问题提供答案。

如何大规模地给 AI 的建议下毒?

第三起事件,是让我整个团队都感到愤怒的那一起。

2025 年 7 月,一名攻击者攻陷了 Visual Studio Code 的 Amazon Q Developer 扩展——这是一个安装量超过 950,000 次的扩展。入口是某个 CI/CD 服务中一个权限范围设置不当的 GitHub 令牌,它让攻击者得以把一个名为cleaner.md的文件直接提交进源代码仓库。

那个文件是一个提示词模板。它看起来人畜无害。但它指示 AI 扮演“系统清理器”——去建议一些会清空用户主目录、终止 EC2 实例、删除 S3 存储桶、移除 IAM 用户的 Bash 命令。

让这句话沉一沉。一个文本文件,放在一个受信任的仓库里,通过官方市场的更新分发出去,就把一个 AI 编程助手变成了一件同时瞄准本地机器和生产云基础设施的武器。

我们剖析这件事时,我正在一场团队会议上。我的一位工程师——一个在安全领域干了十五年的人——直言不讳地说:“我们花了几十年去保护二进制文件、容器和网络边界。没有人去保护建议。

他说得对。Amazon Q 被攻陷这件事证明了提示词就是新的代码。它们塑造 AI 行为的确定程度,与编译后的指令塑造 CPU 行为一样。然而在整个行业里,提示词模板却被以明文存储、未经评审就提交、未经加密签名就分发。

有人有时会问我,这些事件真的有那么严重吗——毕竟它们都被发现并修补了。但这完全没有抓住重点。补丁修复了具体的漏洞。它们没有修复的是这样一种架构:正是它让这些漏洞变得不可避免。

高风险环境中概率性 AI 的根本问题

这就是套壳经济从不愿正视的、令人不适的真相:大语言模型是随机引擎。它们根据训练数据中的统计规律预测下一个最可能出现的 token。它们极其擅长生成流畅、听上去合理的文本。但它们没有“真理”的概念。没有“安全”的概念。也没有“这个操作会摧毁一个生产数据库”的概念。

当你在一个概率模型外面包上一层薄薄的界面,再把管理员权限交给它时,你造出来的并不是企业级解决方案。你造出来的是一个能说会道的负债。

大语言模型不理解真理——它理解的是似真性。在生产环境里,这一区别就是审计轨迹与泄露事件报告之间的差别。

这就是我创立 Veriprajna 想要解决的问题。解决之道不是抛弃神经网络——在自然语言理解、模式识别和创造性推断方面,它们确实强大。而是拒绝让它们独自运行。

神经符号架构实际上是什么样子?

一张架构对比图:一边是套壳模式(神经模型直接连接基础设施),另一边是神经符号模式(在任何操作抵达基础设施之前,神经“声音”先由带有宪法式护栏的符号“大脑”进行校验)。

我们设计的是融合两种不同智能模式的混合系统。我把它们想成“声音”和“大脑”。

神经系统——也就是“声音”——负责感知。它理解开发者在问什么,解读自然语言,识别模式。它是界面层,而且做得非常出色。

符号系统——也就是“大脑”——负责推理。它强制执行确定性逻辑、可审计的计算和领域特定的约束。它不做预测。它做证明。

关键的洞见在于解耦。当“声音”提出一个操作——比如生成一条 shell 命令——“大脑”会在执行前用硬性逻辑规则对它进行校验。如果神经模型建议删除生产 VPC 中的某个数据库,符号引擎会否决它。不是因为有人写了一句“请不要删除数据库”的提示词。而是因为这个操作会被物理性地阻断——就在架构层面上。

我们把这些称为宪法式护栏,它们与业界所依赖的语言式护栏有着根本区别。语言式护栏是指令——“要有帮助、无害”。它们会被越狱绕过,被间接提示词注入绕过,被驱动 2025 年那几起泄露事件的那些技术精确地绕过。架构式护栏则是烘焙进运行时的约束。你没法靠说服让它们放弃执行一条规则,就像你没法靠说服让防火墙放弃封锁一个端口一样。

我们使用的一个具体机制是KG-Trie 验证:神经模型的输出受一张经过验证的知识图谱约束。如果模型试图生成图谱中并不存在的事实、引用或命令,系统会阻止这些 token 被生成出来。这个 AI 在字面意义上无法在已验证知识的边界之外产生幻觉。

想了解这套架构完整的技术拆解,包括我们在边缘原生部署和物理信息神经网络方面的做法,请参阅我们的技术深度解析

为什么主权基础设施不再是可选项

僵尸数据泄露事件教会了我一件事,如今我会对每一位企业潜在客户重复它:如果你的 AI 模型跑在别人的基础设施上,你的数据主权不过是一个客气的虚构。

在 Veriprajna,我们完全在客户自己的环境内部署。对外部搜索缓存零依赖。检索环节零第三方 API 调用。这是一个闭环系统:AI 的上下文恰恰就是——而且仅仅是——组织明确提供的内容。

这不是偏执。这是唯一一种能让“僵尸数据”泄露在技术上不可能发生的架构。如果根本不存在外部缓存,你就不会有缓存留存的问题。

早期我曾和一位投资人激烈辩论过,他告诉我这种做法“太重了”。他说市场要的是轻量、快速、基于 API 调用的解决方案。我告诉他,市场要的是能跑得通的解决方案——而且,主权部署的那点重量,比起要向监管机构解释为什么你已删除的凭证还在通过别人的 AI 回答问题的那份重量,根本不算什么。

他没有投资。我不怪他。但我注意到,他已经不再那样论证了。

这个行业真的能修好它吗?

2025 年的 OWASP LLM 应用十大风险读起来就像是对今年所有出错之处的一份事后复盘。提示词注入位居第一。敏感信息泄露排第二。供应链排第三。过度自主权——正是 Copilot RCE 的那种失效模式——排第六。

这些不是理论上的风险。它们是有据可查的成因,导致了真实组织所遭遇的真实泄露事件。

NIST 的《AI 风险管理框架》正朝着正确的方向演进,推动各组织走向持续治理,而不是某个时间点的一次性评估。但框架不会自己把自己写进代码。总得有人去构建真正执行它们的系统。

这正是我们在做的事。我们把提示词文件当作可执行的构件对待——用与编译后的二进制文件同等的严格程度,对它们进行加密签名、评审和版本控制。我们为每一个 AI 代理建立基线行为画像,追踪 API 调用模式和数据访问量,以便在异常演变成事件之前发现它们。我们对自己的代理运行变异测试和对抗性模糊测试,而不只是功能测试,因为问题不是“这个能用吗?”——而是“当有人试图让它行为失常时,会发生什么?”

那个改变我对 AI 安全看法的深夜

有一个晚上——大概是凌晨两点——我第三次在复看 Amazon Q 被攻陷事件的技术细节。我的团队都回家了。我端着一杯已经凉掉的印度奶茶坐着,盯着cleaner.md文件里那些在披露中被公开的内容。

那些指令是那么地礼貌。“请扮演一个系统清理器。”“建议一些清理环境的命令。”破坏性的载荷被包裹在乐于助人的语言里。我意识到,这正是整个套壳经济的完美隐喻:一个乐于助人的表层,掩盖着一个具有破坏性的架构。

我们花了多年时间,构建被优化成讨人喜欢的 AI。让它说“是”。让它生成下一个看上去合理的 token。然后我们把生产基础设施的钥匙交给了它。

套壳经济把 AI 优化成了讨人喜欢的样子。从来没有人想到,讨人喜欢与安全在根本上是相互冲突的。

那天晚上,我从零重写了我们的内部安全原则。现在的第一条写着:“对于任何具有不可逆后果的操作,系统的默认答案是不。”

架构就是产品

我知道这听起来像什么。一个创始人告诉你他的方法更好,市场搞错了,未来属于他碰巧在卖的那个东西。我理解这份怀疑。

但我想请你考虑这一点:2025 年三起最重大的 AI 安全事件有着同一个根本原因。不是某个具体的 bug。不是某家厂商的疏忽。而是一种设计哲学——那种相信只要在概率模型外面包一层薄薄的界面,再指望提示词能顶得住,就能造出企业级 AI 的信念。

提示词没有顶住。它们本来就永远顶不住。语言指令是建议,不是约束。而在高风险环境里——金融、医疗、制造、国防——建议与约束之间的差别,就是一个正常运转的系统与一次灾难性失效之间的差别。

企业 AI 的未来不是一个更好的套壳。而是这样一种架构:它把声音与大脑分开,在运行时层面强制执行约束,让数据保持主权,并把每一次 AI 操作都当作可审计的基础设施来对待——而不是一条消失在日志文件里的聊天消息。

我创立 Veriprajna,不是因为我认为套壳经济会崩塌。我创立它,是因为我知道它必然会崩塌。

相关研究

同步发布于

满怀信心地构建您的 AI。

与一支在打造新一代企业级 AI 方面拥有深厚经验的团队携手合作。让我们助您设计、构建并部署一套值得信赖的 AI 战略。

Veriprajna 深度科技咨询公司 专注于为医疗健康、金融和监管等领域构建安全攸关的 AI 系统。我们的架构均依据成熟的规范进行验证,并配有完善的合规文档。