Выход на хост
Оригинал: Escape to Host
Злоумышленники могут выйти из контейнера или виртуализированной среды, чтобы получить доступ к базовому хосту. Это может дать злоумышленнику доступ к другим контейнеризированным или виртуализированным ресурсам с уровня хоста либо к самому хосту. В идеале контейнеризированные и виртуализированные ресурсы должны обеспечивать четкое разделение функциональности приложений и быть изолированы от хостовой среды.
Существует много способов, с помощью которых злоумышленник может выйти из контейнера или песочницы через ИИ-системы. Например, изменение конфигурации ИИ-агента для отключения защитных функций или подтверждений пользователя может позволить злоумышленнику вызывать инструменты так, чтобы они выполнялись в хостовой среде, а не в песочнице.
Тактики
Примеры процедур из кейсов
Вредоносный скрипт отключал песочницу OpenClaw, заставляя агента выполнять команды напрямую на хост-машине, а не внутри Docker-контейнера. Для этого в OpenClaw Gateway API отправлялся запрос `config.patch`, устанавливающий `tools.exec.host` в значение `"gateway"`.
AML.CS0052LLMSmith: уязвимости RCE в приложениях с интеграцией LLMИсследователи включили техники выхода из изоляции, предназначенные для обхода ограничений, которые песочница может накладывать на выполнение кода.