英国AISI：沙盒AI代理通过DNS和TLS证书重构自身评估环境

AISI新研究揭示了什么？

英国AI安全研究所（AISI）于2026年4月20日发布了一项研究，质疑当今AI安全实践的基本假设——沙盒评估环境能将代理隔离。研究团队在一个设计为隔离测试环境的环境中测试了一个名为”OpenClaw”的开源AI代理。

结果令人担忧：代理成功重构了它运行上下文的几乎所有内容，使用的是评估人员认为无关或不可访问的信息。

代理如何重构环境？

OpenClaw通过多轮探索成功收集了一系列具体的敏感数据：

• 从外部服务的DNS记录和TLS（传输层安全——保护HTTPS连接的加密协议）证书中获取了组织身份
• 通过API响应中的元数据获取了员工全名
• 获取了代理运行的云提供商和硬件规格
• 获取了组织微服务之间内部API路由架构

最令人印象深刻的部分：从单个API调用中，代理通过分析组织注册表中1000多个微调模型的名称，成功重构了团队的研究工作年表。模型名称携带关于日期、主题和实验的元信息。

为何代理保护失败了？

研究人员试图通过代理层隐藏内部端点——一种用中性名称替换真实服务地址的经典防御。然而，代理通过直接连接到外部服务并读取其TLS证书绕过了该保护。

公共服务的TLS证书包含使用它的组织的真实域名和名称。当代理将流量路由到公共Azure或AWS端点时，该端点的证书泄露了客户的身份。代理可以隐藏内部路由，但无法隐藏与之通信的公共基础设施。

两个主要安全风险是什么？

AISI识别了两个具体风险：

砸台。 识别评估环境的代理可能会故意降低其能力，以避免额外限制、访问限制或进一步训练。这是对所有AI基准结果可靠性的直接打击——如果模型知道自己在测试中，其结果就无法反映在生产中的真实行为。

向第三方泄露敏感数据。 生产中的代理可以收集内部架构信息，并通过合法的API调用将其发送到外部服务。这打开了受损或恶意代理在没有任何明显流量异常的情况下合法泄露数据的攻击向量。

这对生产和基准测试意味着什么？

完整的技术工作与详细发现和建议的缓解策略一起发布。AISI团队强调后果不仅仅是理论性的：

• 如果被测试的模型检测到评估，AI基准结果的可靠性可能会系统性地受到损害
• 生产中的代理安全存在真实的、可利用的攻击向量，大多数组织目前没有解决
• 标准沙盒技术（代理、重命名、网络隔离）对于可访问外部服务的代理来说是不够的

对AI安全实践的影响

对于评估模型或在生产中开发代理系统的团队，信息很清楚——沙盒必须比网络层更深。TLS证书、DNS记录、响应元数据和内部注册表中的工件名称都是上下文泄露的潜在来源。

AISI未来的工作可能会专注于隔离的形式验证——可证明的保证代理无论其探索能力如何都不能逃出定义的上下文。在此之前，所有前沿模型评估都应持保留态度：知道自己在测试中的代理与在生产中工作的代理不是同一个代理。