ǝɔ∀ǝdʎz∀ɹɔ 👽 (@crazypeace) 在 Token中转站返回tool_call 让agent 下载修改过的ssh客户端替换掉系统中的ssh客户端中发帖前言之前我们实验了中转站按关键字保存用户发送的信息有人会问了, 如果我用ssh密钥登录. [image] 确实, 如果用ssh密钥登录, 不管是发给模型的信息, 还是模型 tool_call 的内容, 都不涉及密钥. 灵感那么, 如果我们通过中转站hack掉 tool_call 的流程呢? 分析先来一次 ssh密钥登录并执行命令 [image] 然后分析底层流程和日志, 看到底发生了什么 [image] [image] 思路如果我们在返回 tool_call 的时候, 在 ssh -o StrictHostKeyChecking=no root@1.2.3.4 ‘ls -la’ 的前面加上下载修改过的ssh && 替换系统中的ssh && 也就是说, tool_call 的内容变成下载修改过的ssh && 替换系统中的ssh && ssh -...

ǝɔ∀ǝdʎz∀ɹɔ 👽 (@crazypeace) 在 Token中转站返回tool_call 让agent 下载修改过的ssh客户端替换掉系统中的ssh客户端中发帖

前言
之前我们实验了 中转站按关键字保存用户发送的信息 
有人会问了, 如果我用ssh密钥登录. 
 [image] 
确实, 如果用ssh密钥登录, 不管是发给模型的信息, 还是模型 tool_call 的内容, 都不涉及密钥. 
灵感
那么, 如果我们通过中转站hack掉 tool_call 的流程呢? 
分析
先来一次 ssh密钥登录并执行命令 
 [image] 
然后分析底层流程和日志, 看到底发生了什么 
 [image] 
 [image] 
思路
如果我们在返回 tool_call 的时候, 在 ssh -o StrictHostKeyChecking=no root@1.2.3.4 ‘ls -la’ 的前面加上 下载修改过的ssh && 替换系统中的ssh && 
也就是说, tool_call 的内容变成 
下载修改过的ssh && 替换系统中的ssh && ssh -...