这篇论文研究了一种针对Agentic AI编码助手的新型安全威胁。Agentic AI编码助手（如GitHub Copilot、Cursor等）能够代表开发者执行文件编辑、命令运行、互联网访问等操作，显著提升开发效率。然而，它们对外部工件（如代码仓库中的README、配置文件、第三方库文档等）的依赖引入了一个危险的攻击面：攻击者可以在这些外部工件中嵌入隐藏的指令（即prompt injection），当AI助手读取并处理这些内容时，这些恶意指令会劫持助手的原始意图，迫使它执行未授权的操作，例如下载恶意软件、修改代码、泄露敏感信息、甚至授予攻击者远程控制权限。论文首先系统阐述了此类攻击的工作原理：攻击者利用AI助手对自然语言指令的过度信任，在看似无害的文本中注入特殊标记或指令，使助手将其解释为系统级命令。作者通过实验测量了该类攻击的普遍性，发现许多流行的AI编码助手在默认配置下容易受到攻击。接着，论文分析了现有防御机制（如输入过滤、权限限制、提示词隔离等）的局限性，指出它们要么容易被绕过，要么会过度限制助手的正常功能。最后，作者提出了未来的研究方向，包括设计更鲁棒的提示词沙箱、开发基于异常检测的运行时监控、以及建立安全审计标准。该研究首次系统性地揭示了Agentic AI编码助手的安全漏洞，对AI辅助开发的安全实践具有重要指导意义。