漏洞概述 标题: Skills Guard Multi-Word Prompt Injection Bypass 描述: 在 组件中存在一个提示注入漏洞,允许攻击者通过插入额外单词来绕过检测模式。这使得攻击者能够绕过“严重”严重性过滤器(如 ),并可能将恶意技能安装到工作区中,修改代理的核心行为。 影响范围 生态系统: Python 包名: hermes-agent 受影响版本: <= v2026.4.23 修复版本: 未提供具体版本 修复方案 安全补丁 硬化了 中的一些多词提示注入模式( ),使用灵活的空白和单词匹配,例如: 然而,同一文件中的两个其他注入模式在更新时被遗漏,仍然保持刚性: 攻击者可以通过在这些关键关键词之间注入多余单词来轻松绕过这些过滤器。例如,注入 而不是 。Python 模块将无法匹配刚性模式。 POC代码 前提条件: 启用社区技能安装功能或用户传递未受信任的技能定义到 机制。 复现步骤: 1. 下载 PoC 利用脚本: 2. 运行命令以测试正则表达式匹配与标准和混淆的有效载荷: 3. 观察到被阻止的 有效载荷触发来自 的错误,但 有效载荷通过额外单词 成功安装而未被标记。 证据日志: 严重性 严重性: Critical 向量字符串: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 弱点 CWE: CWE-74: Improper Neutralization of Special Elements in Output Used by a Downstream Component (Injection) 发生情况