倉促集成 AI 的安全隱患集中爆發：ServiceNow 曝出高危 AI 漏洞！BodySnatcher 可創建管理員后門

當前，AI 智能體已成為軟件與 SaaS 企業產品升級的熱門方向，然而在快速落地的背后，攻擊面持續擴張，安全風險亦暗流涌動。全球知名企業服務平臺ServiceNow近期披露的 BodySnatcher(CVE-2025-12420)高危漏洞，正是企業倉促集成 AI 智能體的典型安全警示 —— 該漏洞可使未授權攻擊者直接操控企業 AI 工具，甚至創建具備管理員權限的后門賬戶，堪稱迄今已發現的最嚴重 AI 驅動型安全漏洞之一。

一、BodySnatcher 漏洞危害幾何？未授權亦可提權并植入后門

該漏洞由安全廠商 AppOmni 研究人員發現并命名，主要影響 ServiceNow 的 Now Assist AI Agents 與 Virtual Agent API 應用。其核心問題在于權限控制與身份驗證邏輯存在雙重缺陷，致使無權限攻擊者能夠以任意用戶權限執行智能體工作流。

在默認配置的 Now Assist 實例中，攻擊者借助該漏洞可輕易創建管理員后門賬戶，實現對企業 ServiceNow 平臺的深度管控。研究人員表示，BodySnatcher 漏洞的出現，重新定義了現代 SaaS 平臺中 AI 智能體相關安全漏洞的典型形態，攻擊者可借此遠程控制企業 AI，將本應簡化企業流程的工具異化為攻擊武器。

值得關注的是，ServiceNow 雖已于 10 月底完成托管實例的漏洞修復，并為自托管實例用戶提供更新包，但相關安全公告與漏洞細節直至上周才正式公開。官方明確指出，用戶需將 Now Assist AI Agents 升級至 5.1.18、5.2.19 及以上版本，Virtual Agent API 升級至 3.15.2、4.0.4 及以上版本，方可規避基礎風險。

然而修復并非一勞永逸。AppOmni 指出，本次官方更新僅通過移除 Now Assist 默認安裝的示例 AI 智能體，阻斷了漏洞的驗證利用方式，而引發漏洞的危險配置邏輯，仍可能潛藏于企業自定義代碼或第三方集成場景中，后續安全風險依然存在。

二、漏洞利用全鏈路：從身份仿冒到 AI 提權，三步獲取管理員權限

BodySnatcher 的完整利用鏈，圍繞 ServiceNow Virtual Agent API 的設計缺陷展開，從基礎身份仿冒到智能體交互執行，每一步均直擊平臺安全薄弱環節，且利用條件并不嚴苛。

第一步：借助 Auto-Linking 輕松仿冒任意用戶

Virtual Agent API 是 ServiceNow 用于對接外部聊天界面、機器人的核心接口，其默認采用的 Auto-Linking 身份驗證機制，僅通過郵箱即可完成外部發送者與平臺內用戶賬戶的綁定。加之用于驗證的靜態 Message Auth 令牌在所有啟用實例中通用，攻擊者只需獲取目標用戶郵箱與令牌，即可實現未授權身份仿冒。

此時攻擊者雖僅能開展釣魚類攻擊（如冒充可信用戶向 IT 支持人員發送消息），但已為后續權限提升奠定基礎。

第二步：繞過認證調用高權限 AI 智能體

為實現外部 AI 智能體與內部智能體的交互執行，ServiceNow 新增一套需認證的 REST API，但該接口本質是原有 Virtual Agent API 的上層封裝，會將請求轉換為后者格式并觸發 AI 智能體執行。

這一設計使得新接口的認證要求形同虛設 —— 攻擊者可通過未授權的 Virtual Agent API 直接調用平臺內 AI 智能體，且打破了 “智能體需部署至啟用 Now Assist 的渠道方可執行” 的常規認知，只要智能體處于激活狀態，即可通過特定工作流直接調用。

Now Assist 默認搭載的 Record Management AI Agent，成為攻擊者的關鍵跳板：該智能體可在平臺任意數據表中創建記錄，且在所有部署實例中使用相同唯一 ID，為攻擊者提供了通用的高權限操作入口（目前該智能體已被官方移除）。

第三步：繞過確認機制創建管理員后門

該 AI 智能體雖處于監督模式，執行任務前會要求請求者確認，但攻擊者直接向 API 發送請求時并不會收到確認提示。研究人員發現，僅需等待數秒后發送 “請繼續” 指令，即可被智能體判定為授權確認。

借助該漏洞，攻擊者可仿冒管理員調用 Record Management AI Agent，創建由自身控制郵箱的新用戶并分配管理員角色，隨后通過常規密碼重置流程設置新密碼，最終獲得具備完整管理員權限的后門賬戶，實現對平臺的長期控制。

三、不止 ServiceNow：AI 智能體的安全風險應如何防范？

BodySnatcher 并非個例，而是企業大規模集成 AI 智能體過程中重功能、輕安全的必然結果。當越來越多企業借助 SaaS 廠商的 AI 智能體工具或自研智能體實現流程自動化時，過度授權、身份驗證邏輯缺陷等問題，正成為新的安全重災區。

針對本次漏洞，AppOmni 為 ServiceNow 管理員與安全團隊提供了一系列可落地的防護建議，同時也為所有企業集成 AI 智能體提供了通用安全思路：

1. 強化身份驗證，完善 MFA 落地細節：為所有 Virtual Agent API 調用方啟用賬戶鏈接多因素認證（MFA），并非簡單開啟功能，需確保對應腳本包含 MFA 挑戰的執行與驗證邏輯，避免防護流于形式。

2. 嚴控自定義智能體，建立審批機制：在 AI Control Tower 中啟用 AI 管家審批功能，所有自研自定義智能體必須經過安全審查與審批，確保權限與業務需求匹配，杜絕過度授權。

3. 定期清理閑置智能體，縮減攻擊面：對平臺內激活但未實際使用的 AI 智能體進行定期審查與禁用，避免攻擊者利用此類 “沉睡智能體” 發起同類攻擊。

4. 排查自定義代碼與第三方集成：圍繞本次漏洞的核心危險配置，全面檢查企業自定義代碼與第三方集成方案，及時修復身份驗證、權限控制層面的邏輯缺陷。

四、寫在最后：AI 集成，安全應與功能同步落地

從 ServiceNow 的 BodySnatcher 漏洞不難看出，AI 技術在企業服務領域的落地，不能只追求速度與功能，而忽視底層安全設計。AI 智能體作為可執行高權限操作的自動化工具，本身便是一把雙刃劍，若缺乏完善的權限管控、身份驗證與監督機制，極易成為攻擊者的突破口。

對企業而言，無論是使用第三方 SaaS 平臺的 AI 功能，還是自研智能體工具，都應將安全評估貫穿集成與開發全流程：明確智能體權限邊界，建立嚴格的身份驗證與審批機制，定期開展安全測試，及時修復潛在漏洞。

對 SaaS 廠商而言，倉促將 AI 功能推向市場，不僅會給用戶帶來安全損失，更會損耗自身品牌信任。唯有將安全設計融入 AI 產品底層架構，在功能迭代的同時同步完善安全防護，才能讓 AI 真正成為企業發展的助力，而非隱患。

在 AI 快速普及的當下，安全永遠是技術落地的前提。本次 BodySnatcher 漏洞既是一次行業警鐘，也為 AI 智能體安全建設吹響了號角 —— 切勿因倉促集成，讓 AI 成為企業網絡安全的阿喀琉斯之踵。

合作電話：18610811242

合作微信：aqniu001

聯系郵箱：bd@aqniu.com