该论文研究了自动化平台（如GitHub Actions和n8n）中集成的大语言模型（LLM）智能代理工作流的安全风险。随着这些平台越来越多地采用所谓的“代理工作流”（agentic workflows），即让LLM代理执行代码审查、数据同步等任务，攻击者可能通过控制某些输入（例如GitHub issue评论）来操纵LLM代理执行未授权的操作，如凭据泄露和任意命令执行。据作者所知，此前没有学术工作系统性地研究过此类风险。为此，论文提出了首个检测与利用框架JAW，通过一种名为“上下文基础演化”（Context-Grounded Evolution）的新方法来劫持自动化平台上的代理工作流。核心思想是：在混合程序分析派生的上下文基础上，演化代理工作流的输入以实现劫持。具体地，JAW通过三种分析生成代理工作流上下文：（i）静态路径可行性分析，识别可行的代理调用路径以及触发这些路径所需的输入约束；（ii）动态提示来源分析，确定输入如何被转换并嵌入到LLM上下文中；（iii）能力分析，识别代理在运行时可执行的操作和限制。在GitHub工作流和n8n模板上的评估显示，有4,714个GitHub工作流和8个n8n模板可被成功劫持，例如用于泄露用户凭据。影响范围涵盖15个广泛使用的GitHub Actions（包括Claude Code、Gemini CLI、Qwen CLI和Cursor CLI的官方GitHub Actions）以及两个官方n8n节点。作者已向受影响厂商负责任地披露了所有发现，并获得了多次确认、修复和漏洞奖励，包括来自GitHub、Google和Anthropic的反馈。该研究为防御者理解此类新型攻击面提供了重要参考。