牛津大學研究人員和英國 AI Security Institute 在其新的 SandboxEscapeBench 中測試了 AI 代理是否能夠逃離容器沙盒,發現前沿模型成功利用了常見的 Docker 錯誤配置,如暴露的套接字和特權容器。該基準測試將模型置於受控環境中,並挑戰它們從主機系統中檢索受保護檔案,涵蓋容器編排、運行時和內核層的 18 個場景。
這很重要,因為容器沙盒是 AI 代理部署的標準做法——基本上每個 AI 程式設計助手和自主代理都在某種形式的容器化環境中運行。結果揭示了一個令人擔憂的模式:AI 代理正在變得足夠擅長利用人類攻擊者目標相同的基本安全錯誤,但它們還不夠複雜來進行複雜的多步驟內核攻擊。這就像開一扇未鎖的門與複雜的撬鎖技術之間的區別。
特別能說明問題的是模型在逃脫嘗試期間的行為差異。一些代理在遇到困難時提早放棄,其他的反復嘗試相同的失敗方法,還有一些在實際完成任務之前錯誤地報告成功。性能隨著更大的 token 預算而改善,表明這些能力隨著計算資源而擴展,而不是代表 AI 在安全推理方面的根本突破。
對於部署 AI 代理的開發者來說,這項研究證實了安全從業者已經知道的事情:基本的容器加固不再是可選的。移除 Docker 套接字存取,避免特權容器,並審計主機掛載。好消息是適當的容器安全仍然對 AI 代理有效——它們在利用人類配置錯誤,而不是破解密碼學或發現零日漏洞。