Egress Lockdown (No-Exfiltration Channel)

Nikola Balic (@nibzard)· established

问题

即使能够访问私有数据且面对不可信输入,只要Agent无法传输窃取的数据,攻击就会失败。许多现实场景中的修复方案只是简单地移除或过滤了出站通道。

方案

为Agent工具实现出口防火墙

  • 仅允许特定域名、请求方法或负载大小。
  • 在所有允许的出站调用中剥离或哈希处理内容。
  • 禁止动态链接生成(例如 http://attacker.com/?q=<data>)。
  • 当外部通信必不可少时,将其放在无法访问私有数据的独立“哑工作进程”中运行。
# Dockerfile 示例
RUN iptables -P OUTPUT DROP       # 默认拒绝
RUN iptables -A OUTPUT -d api.mycompany.internal -j ACCEPT

如何使用

  • 将Agent部署在带有出站规则的沙箱化VM或容器中。
  • 通过内部代理提供所需的API;审计该代理的请求schema。
  • 记录所有DROP事件,以便开展取证追踪工作。

权衡

优点:大幅减少高影响性泄漏;易于推理分析。 缺点:破坏合法集成;关键调用需使用代理存根。

参考文献

关键词

Willison援引多家厂商的事后分析报告称,微软365 Copilot、GitHub MCP、GitLab Duo聊天机器人均把禁用所有出口路径列为首个补丁修复措施。

\n\n 【直译】Willison援引的多家厂商事后分析报告指出:微软365 Copilot、GitHub MCP、GitLab Duo聊天机器人的修复工作均将禁用所有出口路径作为首个补丁措施。

来源摘要

正在获取来源并生成中文摘要…

来源: https://simonwillison.net/2025/Jun/16/lethal-trifecta/

← 返回社区