桃子桃子快讯
返回首页
行业动态

WriteOut 漏洞:Writer AI 沙箱跨租户会话劫持

安全团队披露 Writer AI 沙箱存在严重漏洞 WriteOut,攻击者可借此接管任意用户账户,Writer 已修复…

2026.07.08 · 周三3 分钟阅读

企业生成式 AI 平台 Writer 被曝存在一个被命名为「WriteOut」的严重安全漏洞。漏洞由安全研究团队 SAND Security 发现并通过负责任披露流程上报,Writer 已完成修复。该漏洞允许攻击者借助一个普通链接,在受害者毫无感知的情况下接管其在 Writer 平台上的账户,进而访问其私有聊天、数据、敏感文档、智能体配置、私有模型及 LLM 凭证等资源。

漏洞概述

WriteOut 属于跨租户会话隔离缺陷,其根源在于 Writer 的沙箱机制并未真正将用户会话凭据隔离在受信边界之外。攻击者只需在自己控制的 Writer 账户中构建一个带有实时预览的智能体,然后将预览链接发送给目标用户。当已登录的 Writer 用户点击链接后,其浏览器会自动将会话 Cookie 附带在请求中,经预览代理转发后送入攻击者的沙箱,攻击者即可在沙箱内读取内存、提取令牌并完成账户接管。

更值得警惕的是,攻击者与受害者不必隶属同一组织。攻击者可以使用免费或一次性账户创建恶意智能体,再通过 Writer 自带的分发渠道以公开链接或嵌入方式投递,从而触达金融、保险、医药、零售及科技等行业的 Fortune 500 与 Global 2000 客户。

技术根因

Writer 智能体依赖一个广泛使用的托管沙箱来运行代码执行等操作。为解决 Cookie 与路由问题,Writer 选择让智能体的实时预览页面与主应用共享同一源站,而不是部署在独立子域中。这一选择本身合理,但由于预览代理会将用户的会话 Cookie 一并转发进沙箱,以支持一项已被废弃的沙箱内集成调用,威胁模型随之偏离:当初设计时沙箱只运行用户自己的代码,而当预览可被分享后,同一条通道就把高价值凭据送进了不可信代码可达的位置。

攻击链可拆解为以下步骤:

  • 攻击者在自有账户中创建带有实时预览的智能体,并分享公开预览链接。
  • 受害者点击链接,浏览器自动附上 Writer 会话 Cookie。
  • 预览代理将该 Cookie 转发进攻击者控制的沙箱。
  • 沙箱内的代码读取会话令牌并外传。
  • 攻击者重放令牌,在 Writer 平台上以受害者身份操作。

修复与响应

SAND Security 与 Writer 安全团队在披露过程中保持紧密协作。Writer 迅速采取了缓解措施,确保会话凭据不再暴露在沙箱之中。SAND Security 在公开致谢中肯定了 Writer 团队的专业响应速度。已使用 Writer 的用户无需额外操作,补丁已覆盖该漏洞。

对 AI 平台安全的启示

WriteOut 揭示了一个被广泛忽视的事实:沙箱本身并不等于安全边界。AI 平台中的沙箱同样存在独立于传统运行时的威胁向量,安全与工程团队不应将「代码运行在沙箱里」视为风险已被控制的依据。建议企业将 AI 沙箱纳入攻击面管理与第三方风险评估流程,审视其会话凭据、跨域请求与预览代理等环节的隔离设计,避免因便利性而牺牲安全边界。

信源