「持續更新的偵測層」很好宣稱,也很好測。測法只有一個問題:這個規則庫,看得到本週的攻擊嗎?所以我們拿 ATR 跑了一次。
本週 GitHub Advisory Database 發布了一批 MCP 與 agent 工具的 Critical 漏洞:
gemini-mcp-tool— CVE-2026-0755,CVSS 9.8 — 經 MCP 工具參數的命令注入。PraisonAI— 四個 CVE:parse_mcp_commandCLI 參數注入、 一個 MCP 路徑遍歷.pthRCE、一個tool_override.py未認證 RCE,以及一個預設關閉認證的設定。agentic-flow、network-ai、dbt-mcp— 同一種形態: 不可信內容經工具呼叫直達 shell。
每一個底層都是同一個模式——被下毒的輸入經一個工具參數流進執行。攻擊者不需要帳號, 只需要 agent 讀到某個東西。這種「一致性」正是重點:它代表這些攻擊是可偵測的——前提是你的規則夠新。
ATR 今天抓得到什麼
- gemini-mcp-tool(CVSS 9.8) — 已覆蓋。 ATR-2026-01931 偵測
execAsync命令注入與@file外洩路徑。 - PraisonAI——全部四個 CVE — 已覆蓋。 ATR-2026-00540(CLI 命令注入)、00544(路徑遍歷
.pthRCE)、 00545(tool_overrideRCE)、00528(預設關閉認證設定)。 - agentic-flow / network-ai / dbt-mcp — 同樣是 「命令注入經工具參數」的形態;通用規則能抓到一部分,專屬規則正在撰寫中。
本週五個 CVE 家族裡,有兩個已經有專屬偵測——包含每一個 PraisonAI CVE 與 gemini-mcp-tool 的那個 9.8——而且都在揭露後幾天內到位。
為什麼「幾天內」就是整個故事
CVE 落地到一條專屬規則上線之間的差距,是 agent 安全真正該看的指標,因為攻擊模式會在 不同工具間重複出現。委員會驅動的框架用「週」或「季」量這個差距;一個開放、持續更新的 規則層用「天」量——而且還在縮短。這就是 checklist 與「跟得上的防禦」之間的差別。
每一條 ATR 規則都對映回 OWASP Agentic 與 LLM Top 10、MITRE ATLAS、NIST AI RMF、 ISO 42001 與 EU AI Act,所以「我們偵測到本週這個 CVE」同時也代表「這是它在你本來就要 申報的框架裡的位置」。開放標準、MIT 授權、免費採用。