Black Hat Europe 2025已落下帷幕，回顾本次大会，我们看到AI安全不再小众，而是如今谈论最多的话题之一。今年的议题也显现出安全研究者的兴趣明显"左移"和"下沉"，从单纯关注模型本身的对抗样本，转向了对AI基础设施底层（推理引擎、序列化）、Agent交互协议、AI开发加速工具等方向的研究。

基础设施"裸奔"：推理引擎与预处理

除了模型本身之外，运行模型的"基础设施"也在成为新的攻击目标。无论是底层推理框架、输入预处理算法，还是序列化机制，任何一个环节的失误都会使整个系统坍塌。

击穿推理引擎底层

议题：Breaking AI Inference Systems: Lessons from Pwn2Own Berlin 议题内容：揭示了vLLM、TGI等主流推理框架中存在的内存破坏漏洞，并演示了如何在Pwn2Own比赛中利用这些漏洞实现容器逃逸。

这是实战阵地的一份报告。作者基于Pwn2Own大赛经历，直面vLLM、TGI等主流推理系统发起挑衅。这不仅仅是算法问题，也是在AI时代爆发的经典内存安全+逻辑漏洞攻击。对于构建自己的AI推理服务的公司来说，在基础引擎中修补漏洞可能是比微调模型更紧迫的任务。

特殊Token的拒绝服务攻击

议题：Token Injection: Crashing LLM Inference with Special Tokens 议题内容：发现通过向LLM注入特定的控制字符（Control Tokens），可绕过上层过滤直接触发底层推理引擎崩溃，导致拒绝服务（DoS）。

这是一记漂亮的"四两拨千金"的攻击。不需要复杂的Prompt注入，只需要注入"特殊Token"就会触发推理引擎的异常处理逻辑崩溃。这又一次提醒开发者：LLM的输入过滤不能仅看语义更要看底层token的解析逻辑。

图像缩放中的"隐形"对抗

议题：Weaponizing Image Scaling Against Production AI Systems 议题内容：探讨了利用图像缩放算法（如Bilinear vs Nearest）的差异性，构造出"人类肉眼与机器视觉不一致"的对抗样本，从而欺骗下游模型。

攻击常常发生在模型看到数据之前。这个话题揭示了"预处理管道"是生产级AI系统中非常容易被忽视的一环。攻击者无需触碰模型权重，即可通过操纵像素利用缩放算法的差异实施对抗攻击。提醒我们：在使用传统的图像处理库(OpenCV、Pillow)来做预处理时，也要注意其自身攻击面带来的影响。

供应链的幽灵：Pickle反序列化防御

议题：Dill with It: Pickle Exploitation Techniques and Their Detection Using SaferPickle 议题内容：Pickle无法彻底弃用，Google发布了SaferPickle工具，通过在反序列化过程中动态分析字节码行为，拦截潜在的RCE攻击。

Python Pickle是ML模型分发的"通用语言"，但同样是安全领域的"噩梦"。由Google推出的SaferPickle工具及新型的利用链分析，是在承认完全抛弃Pickle是不现实的。如何在运行时检测反序列化攻击，成为ML供应链安全的关键一战。

Agent生态的信任危机：协议与交互

当AI发展成为Agent并开始联网、调用工具时，信任边界就被打破了。攻击者不再仅仅满足于让模型说话而欺骗它们，而是试图控制Agent的"手"去执行恶意行为。

AI搜索的黑暗面：服务端浏览器RCE

议题：AI Search's Dark Side: How We Turned AI's Web Browsing into a Gateway 议题内容：演示了利用SEO投毒诱导AI联网插件访问恶意网页，进而将AI作为一个高权限代理，实施内网探测或敏感信息窃取。

针对集成Web浏览功能的AI（如ChatGPT Search）的重磅研究。攻击者通过SEO污染和Prompt注入，引诱AI的服务端浏览器访问恶意网页，从而触发RCE。该研究揭示：AI的联网能力其实就是把服务器端的浏览器暴露在了全互联网的火力之下。

攻陷通用连接器：MCP协议漏洞

议题：MCP Unchained: Compromising the AI Agent Ecosystem via Its Universal Connector 议题内容：深入剖析了Model Context Protocol (MCP)的架构缺陷，展示了攻击者如何利用协议层面的鉴权缺失，实现跨Agent的未授权访问与控制。

MCP（模型上下文协议）被设计为Agent互联的"USB接口"，但通用性带来的往往是安全风险。该议题分享了MCP协议自身的设计缺陷与不安全的官方示例代码导致的"AI原生钓鱼"与数据泄露风险。随着Agent生态的爆发，挑战将逐渐集中在外部工具与互联协议（Protocol-level）的攻击上。

以毒攻毒：自动化挖掘Agent逻辑漏洞

议题：Make Agent Defeat Agent: Automatic Detection of Taint-Style Vulnerabilities 议题内容：提出了一种自动化红队框架，利用攻击者Agent自动生成测试用例，专门挖掘基于LLM的Agent系统中的污点传播类逻辑漏洞。

既然Agent逻辑越来越复杂，那就用魔法打败魔法。利用"攻击者Agent"自动化生成测试用例来挖掘"污点类型"漏洞，这一思路代表了在LLM时代下Fuzzing技术的智能化升级。自动化红队（Red Teaming）工具是未来的标配。

AI For Security：从噪音中提炼真相

AI不仅仅是攻击目标，更是安全防御的利器。今年的议题展示了AI如何解决传统安全工具（如SAST）的痛点。

降噪革命：LLM拯救CodeQL

议题：Flaw and Order: Finding the Needle in the Haystack of CodeQL using LLMs 议题内容：发布了Vulnhalla工具，通过集成LLM对CodeQL扫描出的海量结果进行二次语义分析，大幅降低静态代码分析的误报率。

静态分析（SAST）的最大痛点是高误报。该议题提出的"Vulnhalla"是基于LLM的语义理解能力对CodeQL的结果输出进行二次清洗，在Linux内核中落地验证了该方法的有效性。由此可见，"传统规则引擎+LLM语义过滤"是提升代码审计效率的最优组合。

终极对决：SAST vs LLM基准测试

议题：Unsafe Code Detection Benchmark: Stress-Testing SAST and LLMs 议题内容：构建了一套针对现代Web后端的漏洞检测基准测试集，量化对比了传统SAST工具与各类LLM在代码审计场景下的真实检出率与准确度。

这是针对现代Web后端的基准测试，将传统SAST工具与LLM在漏洞检测能力上做了对比评测。对于有意向开展DevSecOps选型的企业来讲，这份Benchmark具有较高的参考价值、为企业的解决方案选型提供了良好的数据支撑。

结语

在Black Hat Europe 2025的议题中，我们可以清楚地感受到：AI安全不再停留在"提示词注入"的初级阶段，而是深入到底层内存安全、协议交互逻辑及供应链治理的深水区。对于安全工作者来说，理解这些新的战场，是我们在AI时代保持竞争力的关键。