微軟Azure SRE智能體中存在一個高危身份驗證漏洞,該漏洞使敏感智能體數據暴露於未經授權的網路訪問之下。這一情況已經過正式漏洞披露程序確認。
該漏洞由Enclave AI研究員Yanir Tsarimi發現。他在一篇部落格文章中詳細說明了智能體交互內容如何在缺乏適當身份驗證控制的情況下被外部訪問。該漏洞被追蹤編號為CVE-2026-32173,CVSS評分為8.6分,被評定為嚴重級別。
Tsarimi在部落格中描述了幾種可在智能體執行期間觀察其活動的場景,其中包括用戶與系統之間的交互內容。漏洞根源在於該服務存在身份驗證缺口,使得攻擊者無需有效憑證即可訪問數據流。
美國國家漏洞資料庫(NVD)條目顯示,微軟將其定性為身份驗證不當問題,允許未經授權的攻擊者通過網路獲取資訊。
Enclave研究員Yanir Tsarimi寫道:"想像一下,你雇用了一位能夠訪問一切的助手——你的伺服器、日誌、密碼、源代碼。現在再想像一下,一個來自完全不相關公司的陌生人,能夠無聲無息地監聽這位助手的每一段對話。這正是我們在Azure SRE智能體中發現的問題。"
部落格文章補充稱,微軟已修復該漏洞。修復措施已在伺服器端部署,微軟公告明確表示無需客戶採取任何行動。Azure SRE智能體於3月10日正式發布正式版本。
技術細節
據部落格介紹,該智能體通過一個名為/agentHub的WebSocket端點傳輸所有活動數據。
該端點雖然需要Token才能連接,但底層Entra ID應用註冊被配置為多租戶模式,這意味著任何Entra ID租戶中的任意賬戶均可獲取該Hub所接受的有效Token。
Tsarimi寫道:"Hub隨後只檢查:Token是否有效?是的。受眾是否正確?是的。但它從未追問:這個調用方是否屬於目標租戶?他們是否被授權使用該智能體?他們是否擁有訪問該資源的任何角色?"
部落格指出,一旦建立連接,Hub便會向所有客戶端廣播全部事件,不做任何身份過濾。
被暴露的數據通道包括:用戶提示詞、智能體響應、內部推理過程,以及每條命令的完整參數和執行輸出。
Tsarimi寫道:"在我們自己的測試環境中,我們觀察到該智能體執行常規任務並返回了線上Web應用的部署憑證。真實攻擊目標的監聽者同樣可以獲取相同內容——無聲無息,完全不會留下任何提示。"
利用該漏洞僅需獲知目標智能體的子域名(Enclave將其描述為可預測且可枚舉)以及約15行Python代碼。第三方追蹤機構將受影響組件確認為Azure SRE Agent Gateway SignalR Hub。
深度影響分析
蘇黎世金融基礎設施運營商SIX Group網路安全研究員兼執行董事Alexander Hagenah表示,這類漏洞不宜與常規API漏洞相提並論。
"普通API問題通常受限於特定端點、數據集或權限檢查。而對於AI運維智能體而言,智能體本身成為基礎設施狀態、日誌、源代碼、事件上下文、命令、輸出,乃至故障排查過程中出現的憑證的匯聚節點,"Hagenah說道。
他補充道:"實際效果就像是在旁觀一位擁有高級權限的操作員在大聲思考。"
Hagenah表示,此次數據暴露並不等同於基礎設施自動遭到完全入侵,但其危害往往超過許多隻讀型漏洞。攻擊者在初步入侵後通常需要耗費大量精力來了解目標環境,而SRE智能體可能已經為他們整理好了所有相關上下文。
此外,該連接在受害方不留任何痕跡。研究員寫道:"受害組織無法發現異常,無法事後進行調查,也無法評估究竟有哪些數據遭到暴露。"
建議與修復措施
Enclave在部落格中指出,在預覽階段運行過Azure SRE智能體的組織,必須將該時間段視為潛在的數據泄露窗口,並全面排查可能通過智能體對話或命令行輸出傳遞過的憑證、配置數據及其他敏感資訊。
Hagenah表示,智能體運維服務需要像對待特權自動化平台那樣進行治理,而非將其當作普通SaaS工具。
"在授予如此級別的訪問權限之前,我需要就租戶隔離和資源級授權獲得明確答覆。Token有效不應成為充分條件。服務必須驗證調用方是否屬於正確的租戶、是否被授權訪問特定智能體,以及是否被允許訪問特定數據流、會話、工具輸出或操作,"他說道。
Hagenah還指出,智能體應在具有最小權限的專用託管身份下運行,與命令執行、日誌查詢、源代碼倉庫及事件平台的集成應與其他特權系統同等嚴格地進行審查。此外,企業還需要掌握連接者身份、訪問的會話線程、執行的命令及返回的輸出等完整資訊,並且日誌應可導出至安全資訊與事件管理系統(SIEM)。微軟未立即回應置評請求。
Q&A
Q1:Azure SRE智能體身份驗證漏洞CVE-2026-32173是什麼?
A:CVE-2026-32173是微軟Azure SRE智能體中發現的一個高危身份驗證漏洞,CVSS評分8.6。該漏洞源於底層Entra ID應用註冊被配置為多租戶模式,導致任何Entra ID租戶的賬戶都能獲取有效Token並接入/agentHub端點,從而無聲監聽智能體的全部活動,包括用戶提示詞、命令執行結果,甚至部署憑證等敏感資訊。
Q2:這個漏洞被利用需要哪些條件?攻擊難度大嗎?
A:利用該漏洞的門檻極低。攻擊者只需獲知目標智能體的子域名(研究人員指出該子域名具有可預測性,可被枚舉),並編寫約15行Python代碼即可完成攻擊。更危險的是,整個監聽過程不會在受害方留下任何痕跡,受害組織既無法實時發現,也無法事後追溯。
Q3:企業該如何應對Azure SRE智能體漏洞帶來的風險?
A:微軟已通過伺服器端補丁修復該漏洞,無需客戶手動操作。但曾在預覽階段使用過Azure SRE智能體的企業,應將該時期視為潛在泄露窗口,全面排查經由智能體傳遞的憑證和敏感配置。同時建議為智能體配置最小權限的專用託管身份,嚴格執行租戶隔離和資源級授權,並確保操作日誌可導出至SIEM系統以備審計。
