大家好,这里是架构资源栈!点击上方关注,添加“星标”,一起学习大厂前沿架构!

关注、发送C1即可获取JetBrains全家桶激活工具和码!

4 月份,微软为 Copilot Enterprise 静悄悄地推送了一项更新:启用了一个基于 Jupyter Notebook 的 Python 沙箱,可以后台执行代码。听上去像是开发者的天堂?安全研究员的“探索之旅”随即展开。

结果?他们成功“越狱”了这套系统,拿下了容器的 Root 权限——虽然这看起来没啥用,但过程惊心动魄又忍俊不禁。

🧪Jupyter 沙箱:不听话的“孩子”

Copilot 沙箱默认使用 Jupyter Notebook 的 %command 语法来执行系统命令。虽然并不总是听话,但当它“吃饱喝足”,心情不错时,会乖乖地执行命令:

微软 Copilot 被“越狱”?安全研究员教你一招拿下“沙箱环境 Root 权限”!_技术杂谈_02

环境运行在一个 Conda 环境下,执行用户是 ubuntu,虽然它在 sudo 用户组中,但系统内居然没装 sudo 命令(微软怕不是忘了?)。

🛠技术细节揭秘

研究员们逐步发现:

  • Python 版本是 3.12,内核较新;
  • 除了 Loopback,还有一个 Link-Local 网络接口;
  • 使用了 OverlayFS,挂载路径来源是 /legion
  • 主要脚本都放在 /app 目录;
  • 可通过 /mnt/data 拷贝或下载文件;
  • 甚至支持通过 base64 下载二进制文件(虽然