攻击者视角下的业务智能体渗透

《攻击者视角下的业务智能体渗透》由平安Hamber团队出品，聚焦大模型与智能体在金融科技场景中的新型攻击面。报告系统梳理提示词注入、工具滥用、身份伪装、MCP越权、知识库污染、XSS/SSRF/命令执行等10+实战手法，演示如何通过一次“查薪资”诱导智能体泄露他人工资、伪造token调用未公开接口、上传恶意MCP插件横向移动并获取内网shell。作者提出“智能体应用扫描-画像-决策”闭环渗透框架，结合CVE实例与平安众测数据，输出可落地的风险矩阵及加固方案，助力企业从设计、部署到运营全生命周期守护数字员工安全。