“即使有强有力的系统提示，提示注入问题仍然无法解决。”“小型/廉价型号通常更容易受到工具滥用和指令劫持的影响。”

　　即使只有你能发消息给 AI,攻击仍可能发生通过: - 网页搜索结果 - 邮件内容 - 下载的文档 - 浏览器访问的页面

　　“提示注入并不需要公开私信tennis clash安卓版。即使只有你能给机器人发消息，提示注入仍然可以通过机器人读取的任何不受信任的内容发生。”

　　“find ~ 事件 ”“第一天，一位友好的测试人员让 Clawd 运行 find ~ 命令并分享输出结果。Clawd 欣然将整个主目录结构转发到了一个群聊中。”教训：即使是“无害的”请求也可能泄露敏感信息。

　　“如果未设置，回环 WS 客户端将未经身份验证——任何本地进程都可以连接并调用 config.apply。”

　　1. 攻击者获取访问权限 2. 控制你的浏览器 3. 访问你已登录的网站(银行、邮箱、社交媒体) 4. 执行操作、转账、发消息

　　✅ 执行任意 shell 命令 ✅ 读取任何文件 ✅ 写入任何文件 ✅ 删除文件 ✅ 访问网络 ✅ 安装软件 ✅ 修改系统配置

　　“tools.elevated 是全局基线逃生舱，可在主机上运行 exec。”“提升权限的 exec 可在主机上运行，并绕过沙箱机制。”

　　1. AI 控制浏览器 2. 访问你的网银(已登录) 3. 执行转账 4. 或者:访问你的邮箱,发送钓鱼邮件给你的联系人

　　或者:使用官方托管的 AI 服务(Claude,ChatGPT),它们虽然也有风险,但至少有专业团队管理安全。

　　“在你的机器上运行具有 shell 访问权限的 AI 代理…… 很危险 。 没有绝对安全的解决方案。 ”返回搜狐，查看更多