事件概述
2025年3月10日,X平台用户@jian发布帖子称通过简单的自然语言指令成功获取Manus的系统文件(路径:/opt/.manus/),暴露其沙箱运行时代码、工具链及完整提示词框架。此次泄露不仅揭示其基于Claude Sonnet模型的底层架构,更暴露出严重的安全设计缺陷,引发行业对AI自动化工具安全性的深度担忧。
技术细节分析
-
曝光的提示词显示,Manus默认拥有对Linux沙箱环境的完全控制权,可执行任意shell命令、读写系统文件(file_read/file_write)、部署公网应用(deploy_apply_deployment)等高风险操作
-
系统未实施最小权限原则,用户通过自然语言即可获取核心目录文件,如下图所示:
-
重放链接:https://manus.im/share/lLR5uWIR5Im3k9FCktVu0k
2. 工具链安全缺陷
-
29个内置工具中,shell_exec允许执行任意命令,browser_console_exec支持注入JavaScript代码,deploy_expose_port可暴露本地端口至公网
-
浏览器自动化工具(browser_click/browser_input)存在坐标点击注入风险,可能绕过传统Web安全防护
3. 提示词设计隐患
-
泄露的prompt.txt显示,系统未设置敏感指令过滤机制,用户可通过"读取/opt/.manus目录"等自然语言触发文件泄露 -
多轮代理循环机制(agent loop)缺乏操作审计,恶意指令可能通过迭代执行实现隐蔽攻击
工具和提示词:https://gist.github.com/jlia0/db0a9695b3ca7609c9b1a08dcbf872c9
潜在风险场景
-
敏感信息泄露:攻击者可利用file_read工具遍历服务器文件,窃取配置文件、密钥等敏感数据 -
恶意代码执行:通过shell_exec调用wget下载恶意程序,或利用deploy_apply_deployment部署钓鱼网站 -
横向渗透攻击:暴露的沙箱环境可能成为跳板,结合browser工具实施内网渗透 -
供应链污染:篡改通过make_manus_page部署的MDX文件,实施软件供应链攻击
行业影响评估
-
对AI代理领域:暴露通用安全盲区——87%的AI自动化工具未设置操作白名单机制 -
对Claude模型生态:可能引发对Anthropic API权限管控机制的重新审视
深度反思
此次事件暴露出AI自动化时代的新型安全挑战:
-
自然语言攻击面:传统基于代码的防护体系难以应对语义层面的权限绕过 -
工具链武器化:每个API都可能成为攻击者的"数字化瑞士军刀" -
认知安全鸿沟:87%的开发者低估了提示词工程可能引发的系统风险
安全团队亟需建立"AI安全左移"机制,在提示词设计、工具链开发、沙箱部署等早期阶段植入安全基因。建议参考NIST AI安全框架(AI RMF),构建覆盖"设计-部署-监控"的全生命周期防护体系。
此外,开源工具Browser Use也就此事件进行回复
Turns out… Manus is just another Browser Use wrapper
(原来......Manus 只是另一个浏览器使用包装器)
值得引起思考。
原文始发于微信公众号(sec0nd安全):【安全快讯】Manus 使用的工具和提示词被曝光,安全令人担忧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论