CVE-2026-31236llm CLI工具直到0.27.1版本存在严重的代码注入漏洞。该漏洞源于`--functions`命令行参数的处理机制,工具直接使用不安全的`exec()`函数执行提供的代码,且没有任何清理、沙箱或安全限制。攻击者可以通过社会工程学诱骗受害者运行包含恶意Python代码的llm命令,从而导致受害者系统上的任意代码执行,攻击者可能获得系统的完全控制权。
该漏洞的技术核心在于llm CLI工具对用户输入的`--functions`参数缺乏有效的安全隔离。当工具解析该参数时,直接将其内容传递给Python的`exec()`内置函数。`exec()`函数能够动态执行字符串形式的Python代码,且在默认情况下具有访问当前上下文所有变量和模块的能力。由于没有对输入代码进行AST(抽象语法树)分析或字符过滤,也没有在受限的沙箱环境中运行,攻击者可以构造包含标准库调用的恶意代码(如`os.system`、`subprocess.run`等)。一旦受害者执行了经过精心构造的命令,恶意代码将继承运行llm工具的用户权限,从而在本地系统中执行任意操作,这完全破坏了系统的机密性、完整性和可用性。