當(dāng)前，AI 智能體已成為軟件與 SaaS 企業(yè)產(chǎn)品升級的熱門方向，然而在快速落地的背后，攻擊面持續(xù)擴(kuò)張，安全風(fēng)險(xiǎn)亦暗流涌動。全球知名企業(yè)服務(wù)平臺ServiceNow近期披露的 BodySnatcher(CVE-2025-12420)高危漏洞，正是企業(yè)倉促集成 AI 智能體的典型安全警示 —— 該漏洞可使未授權(quán)攻擊者直接操控企業(yè) AI 工具，甚至創(chuàng)建具備管理員權(quán)限的后門賬戶，堪稱迄今已發(fā)現(xiàn)的最嚴(yán)重 AI 驅(qū)動型安全漏洞之一。

一、BodySnatcher 漏洞危害幾何？未授權(quán)亦可提權(quán)并植入后門

該漏洞由安全廠商 AppOmni 研究人員發(fā)現(xiàn)并命名，主要影響 ServiceNow 的 Now Assist AI Agents 與 Virtual Agent API 應(yīng)用。其核心問題在于權(quán)限控制與身份驗(yàn)證邏輯存在雙重缺陷，致使無權(quán)限攻擊者能夠以任意用戶權(quán)限執(zhí)行智能體工作流。

在默認(rèn)配置的 Now Assist 實(shí)例中，攻擊者借助該漏洞可輕易創(chuàng)建管理員后門賬戶，實(shí)現(xiàn)對企業(yè) ServiceNow 平臺的深度管控。研究人員表示，BodySnatcher 漏洞的出現(xiàn)，重新定義了現(xiàn)代 SaaS 平臺中 AI 智能體相關(guān)安全漏洞的典型形態(tài)，攻擊者可借此遠(yuǎn)程控制企業(yè) AI，將本應(yīng)簡化企業(yè)流程的工具異化為攻擊武器。

值得關(guān)注的是，ServiceNow 雖已于 10 月底完成托管實(shí)例的漏洞修復(fù)，并為自托管實(shí)例用戶提供更新包，但相關(guān)安全公告與漏洞細(xì)節(jié)直至上周才正式公開。官方明確指出，用戶需將 Now Assist AI Agents 升級至 5.1.18、5.2.19 及以上版本，Virtual Agent API 升級至 3.15.2、4.0.4 及以上版本，方可規(guī)避基礎(chǔ)風(fēng)險(xiǎn)。

然而修復(fù)并非一勞永逸。AppOmni 指出，本次官方更新僅通過移除 Now Assist 默認(rèn)安裝的示例 AI 智能體，阻斷了漏洞的驗(yàn)證利用方式，而引發(fā)漏洞的危險(xiǎn)配置邏輯，仍可能潛藏于企業(yè)自定義代碼或第三方集成場景中，后續(xù)安全風(fēng)險(xiǎn)依然存在。

二、漏洞利用全鏈路：從身份仿冒到 AI 提權(quán)，三步獲取管理員權(quán)限

BodySnatcher 的完整利用鏈，圍繞 ServiceNow Virtual Agent API 的設(shè)計(jì)缺陷展開，從基礎(chǔ)身份仿冒到智能體交互執(zhí)行，每一步均直擊平臺安全薄弱環(huán)節(jié)，且利用條件并不嚴(yán)苛。

第一步：借助 Auto-Linking 輕松仿冒任意用戶

Virtual Agent API 是 ServiceNow 用于對接外部聊天界面、機(jī)器人的核心接口，其默認(rèn)采用的 Auto-Linking 身份驗(yàn)證機(jī)制，僅通過郵箱即可完成外部發(fā)送者與平臺內(nèi)用戶賬戶的綁定。加之用于驗(yàn)證的靜態(tài) Message Auth 令牌在所有啟用實(shí)例中通用，攻擊者只需獲取目標(biāo)用戶郵箱與令牌，即可實(shí)現(xiàn)未授權(quán)身份仿冒。

此時(shí)攻擊者雖僅能開展釣魚類攻擊（如冒充可信用戶向 IT 支持人員發(fā)送消息），但已為后續(xù)權(quán)限提升奠定基礎(chǔ)。

第二步：繞過認(rèn)證調(diào)用高權(quán)限 AI 智能體

為實(shí)現(xiàn)外部 AI 智能體與內(nèi)部智能體的交互執(zhí)行，ServiceNow 新增一套需認(rèn)證的 REST API，但該接口本質(zhì)是原有 Virtual Agent API 的上層封裝，會將請求轉(zhuǎn)換為后者格式并觸發(fā) AI 智能體執(zhí)行。

這一設(shè)計(jì)使得新接口的認(rèn)證要求形同虛設(shè) —— 攻擊者可通過未授權(quán)的 Virtual Agent API 直接調(diào)用平臺內(nèi) AI 智能體，且打破了 “智能體需部署至啟用 Now Assist 的渠道方可執(zhí)行” 的常規(guī)認(rèn)知，只要智能體處于激活狀態(tài)，即可通過特定工作流直接調(diào)用。

Now Assist 默認(rèn)搭載的 Record Management AI Agent，成為攻擊者的關(guān)鍵跳板：該智能體可在平臺任意數(shù)據(jù)表中創(chuàng)建記錄，且在所有部署實(shí)例中使用相同唯一 ID，為攻擊者提供了通用的高權(quán)限操作入口（目前該智能體已被官方移除）。

第三步：繞過確認(rèn)機(jī)制創(chuàng)建管理員后門

該 AI 智能體雖處于監(jiān)督模式，執(zhí)行任務(wù)前會要求請求者確認(rèn)，但攻擊者直接向 API 發(fā)送請求時(shí)并不會收到確認(rèn)提示。研究人員發(fā)現(xiàn)，僅需等待數(shù)秒后發(fā)送 “請繼續(xù)” 指令，即可被智能體判定為授權(quán)確認(rèn)。

借助該漏洞，攻擊者可仿冒管理員調(diào)用 Record Management AI Agent，創(chuàng)建由自身控制郵箱的新用戶并分配管理員角色，隨后通過常規(guī)密碼重置流程設(shè)置新密碼，最終獲得具備完整管理員權(quán)限的后門賬戶，實(shí)現(xiàn)對平臺的長期控制。

三、不止 ServiceNow：AI 智能體的安全風(fēng)險(xiǎn)應(yīng)如何防范？

BodySnatcher 并非個(gè)例，而是企業(yè)大規(guī)模集成 AI 智能體過程中重功能、輕安全的必然結(jié)果。當(dāng)越來越多企業(yè)借助 SaaS 廠商的 AI 智能體工具或自研智能體實(shí)現(xiàn)流程自動化時(shí)，過度授權(quán)、身份驗(yàn)證邏輯缺陷等問題，正成為新的安全重災(zāi)區(qū)。

針對本次漏洞，AppOmni 為 ServiceNow 管理員與安全團(tuán)隊(duì)提供了一系列可落地的防護(hù)建議，同時(shí)也為所有企業(yè)集成 AI 智能體提供了通用安全思路：

1. 強(qiáng)化身份驗(yàn)證，完善 MFA 落地細(xì)節(jié)：為所有 Virtual Agent API 調(diào)用方啟用賬戶鏈接多因素認(rèn)證（MFA），并非簡單開啟功能，需確保對應(yīng)腳本包含 MFA 挑戰(zhàn)的執(zhí)行與驗(yàn)證邏輯，避免防護(hù)流于形式。

2. 嚴(yán)控自定義智能體，建立審批機(jī)制：在 AI Control Tower 中啟用 AI 管家審批功能，所有自研自定義智能體必須經(jīng)過安全審查與審批，確保權(quán)限與業(yè)務(wù)需求匹配，杜絕過度授權(quán)。

3. 定期清理閑置智能體，縮減攻擊面：對平臺內(nèi)激活但未實(shí)際使用的 AI 智能體進(jìn)行定期審查與禁用，避免攻擊者利用此類 “沉睡智能體” 發(fā)起同類攻擊。

4. 排查自定義代碼與第三方集成：圍繞本次漏洞的核心危險(xiǎn)配置，全面檢查企業(yè)自定義代碼與第三方集成方案，及時(shí)修復(fù)身份驗(yàn)證、權(quán)限控制層面的邏輯缺陷。

四、寫在最后：AI 集成，安全應(yīng)與功能同步落地

從 ServiceNow 的 BodySnatcher 漏洞不難看出，AI 技術(shù)在企業(yè)服務(wù)領(lǐng)域的落地，不能只追求速度與功能，而忽視底層安全設(shè)計(jì)。AI 智能體作為可執(zhí)行高權(quán)限操作的自動化工具，本身便是一把雙刃劍，若缺乏完善的權(quán)限管控、身份驗(yàn)證與監(jiān)督機(jī)制，極易成為攻擊者的突破口。

對企業(yè)而言，無論是使用第三方 SaaS 平臺的 AI 功能，還是自研智能體工具，都應(yīng)將安全評估貫穿集成與開發(fā)全流程：明確智能體權(quán)限邊界，建立嚴(yán)格的身份驗(yàn)證與審批機(jī)制，定期開展安全測試，及時(shí)修復(fù)潛在漏洞。

對 SaaS 廠商而言，倉促將 AI 功能推向市場，不僅會給用戶帶來安全損失，更會損耗自身品牌信任。唯有將安全設(shè)計(jì)融入 AI 產(chǎn)品底層架構(gòu)，在功能迭代的同時(shí)同步完善安全防護(hù)，才能讓 AI 真正成為企業(yè)發(fā)展的助力，而非隱患。

在 AI 快速普及的當(dāng)下，安全永遠(yuǎn)是技術(shù)落地的前提。本次 BodySnatcher 漏洞既是一次行業(yè)警鐘，也為 AI 智能體安全建設(shè)吹響了號角 —— 切勿因倉促集成，讓 AI 成為企業(yè)網(wǎng)絡(luò)安全的阿喀琉斯之踵。

合作電話：18610811242

合作微信：aqniu001

聯(lián)系郵箱：bd@aqniu.com