Azure SRE智能体高危漏洞：外部攻击者可无声监听企业云操作全过程

微软Azure SRE智能体中存在一个高危身份验证漏洞，该漏洞使敏感智能体数据暴露于未经授权的网络访问之下。这一情况已经过正式漏洞披露程序确认。

该漏洞由Enclave AI研究员Yanir Tsarimi发现。他在一篇博客文章中详细说明了智能体交互内容如何在缺乏适当身份验证控制的情况下被外部访问。该漏洞被追踪编号为CVE-2026-32173，CVSS评分为8.6分，被评定为严重级别。

Tsarimi在博客中描述了几种可在智能体执行期间观察其活动的场景，其中包括用户与系统之间的交互内容。漏洞根源在于该服务存在身份验证缺口，使得攻击者无需有效凭证即可访问数据流。

美国国家漏洞数据库（NVD）条目显示，微软将其定性为身份验证不当问题，允许未经授权的攻击者通过网络获取信息。

Enclave研究员Yanir Tsarimi写道："想象一下，你雇用了一位能够访问一切的助手——你的服务器、日志、密码、源代码。现在再想象一下，一个来自完全不相关公司的陌生人，能够无声无息地监听这位助手的每一段对话。这正是我们在Azure SRE智能体中发现的问题。"

博客文章补充称，微软已修复该漏洞。修复措施已在服务器端部署，微软公告明确表示无需客户采取任何行动。Azure SRE智能体于3月10日正式发布正式版本。

技术细节

据博客介绍，该智能体通过一个名为/agentHub的WebSocket端点传输所有活动数据。

该端点虽然需要Token才能连接，但底层Entra ID应用注册被配置为多租户模式，这意味着任何Entra ID租户中的任意账户均可获取该Hub所接受的有效Token。

Tsarimi写道："Hub随后只检查：Token是否有效？是的。受众是否正确？是的。但它从未追问：这个调用方是否属于目标租户？他们是否被授权使用该智能体？他们是否拥有访问该资源的任何角色？"

博客指出，一旦建立连接，Hub便会向所有客户端广播全部事件，不做任何身份过滤。

被暴露的数据通道包括：用户提示词、智能体响应、内部推理过程，以及每条命令的完整参数和执行输出。

Tsarimi写道："在我们自己的测试环境中，我们观察到该智能体执行常规任务并返回了线上Web应用的部署凭证。真实攻击目标的监听者同样可以获取相同内容——无声无息，完全不会留下任何提示。"

利用该漏洞仅需获知目标智能体的子域名（Enclave将其描述为可预测且可枚举）以及约15行Python代码。第三方追踪机构将受影响组件确认为Azure SRE Agent Gateway SignalR Hub。

深度影响分析

苏黎世金融基础设施运营商SIX Group网络安全研究员兼执行董事Alexander Hagenah表示，这类漏洞不宜与常规API漏洞相提并论。

"普通API问题通常受限于特定端点、数据集或权限检查。而对于AI运维智能体而言，智能体本身成为基础设施状态、日志、源代码、事件上下文、命令、输出，乃至故障排查过程中出现的凭证的汇聚节点，"Hagenah说道。

他补充道："实际效果就像是在旁观一位拥有高级权限的操作员在大声思考。"

Hagenah表示，此次数据暴露并不等同于基础设施自动遭到完全入侵，但其危害往往超过许多只读型漏洞。攻击者在初步入侵后通常需要耗费大量精力来了解目标环境，而SRE智能体可能已经为他们整理好了所有相关上下文。

此外，该连接在受害方不留任何痕迹。研究员写道："受害组织无法发现异常，无法事后进行调查，也无法评估究竟有哪些数据遭到暴露。"

建议与修复措施

Enclave在博客中指出，在预览阶段运行过Azure SRE智能体的组织，必须将该时间段视为潜在的数据泄露窗口，并全面排查可能通过智能体对话或命令行输出传递过的凭证、配置数据及其他敏感信息。

Hagenah表示，智能体运维服务需要像对待特权自动化平台那样进行治理，而非将其当作普通SaaS工具。

"在授予如此级别的访问权限之前，我需要就租户隔离和资源级授权获得明确答复。Token有效不应成为充分条件。服务必须验证调用方是否属于正确的租户、是否被授权访问特定智能体，以及是否被允许访问特定数据流、会话、工具输出或操作，"他说道。

Hagenah还指出，智能体应在具有最小权限的专用托管身份下运行，与命令执行、日志查询、源代码仓库及事件平台的集成应与其他特权系统同等严格地进行审查。此外，企业还需要掌握连接者身份、访问的会话线程、执行的命令及返回的输出等完整信息，并且日志应可导出至安全信息与事件管理系统（SIEM）。微软未立即回应置评请求。

Q&A

Q1：Azure SRE智能体身份验证漏洞CVE-2026-32173是什么？

A：CVE-2026-32173是微软Azure SRE智能体中发现的一个高危身份验证漏洞，CVSS评分8.6。该漏洞源于底层Entra ID应用注册被配置为多租户模式，导致任何Entra ID租户的账户都能获取有效Token并接入/agentHub端点，从而无声监听智能体的全部活动，包括用户提示词、命令执行结果，甚至部署凭证等敏感信息。

Q2：这个漏洞被利用需要哪些条件？攻击难度大吗？

A：利用该漏洞的门槛极低。攻击者只需获知目标智能体的子域名（研究人员指出该子域名具有可预测性，可被枚举），并编写约15行Python代码即可完成攻击。更危险的是，整个监听过程不会在受害方留下任何痕迹，受害组织既无法实时发现，也无法事后追溯。

Q3：企业该如何应对Azure SRE智能体漏洞带来的风险？

A：微软已通过服务器端补丁修复该漏洞，无需客户手动操作。但曾在预览阶段使用过Azure SRE智能体的企业，应将该时期视为潜在泄露窗口，全面排查经由智能体传递的凭证和敏感配置。同时建议为智能体配置最小权限的专用托管身份，严格执行租户隔离和资源级授权，并确保操作日志可导出至SIEM系统以备审计。