GitHub RCE与Entra ID AI角色提权：企业引入AI工具时最容易忽视的两个安全漏洞

两个漏洞，一个共同信号

2026年4月28日，The Hacker News在同一天披露了两个看似独立、却指向同一根本问题的安全漏洞：GitHub远程代码执行漏洞CVE-2026-3854，以及微软Entra ID中AI智能体角色"Agent ID Administrator"的身份接管缺陷。这两个漏洞的共同特征是——它们都发生在企业快速引入新工具、新架构的过程中，而安全审查却没有同步跟上。

GitHub RCE CVE-2026-3854：一条 git push 命令触发服务器沦陷

这个漏洞的技术核心相当直接：漏洞存在于GitHub.com和GitHub Enterprise Server的git push处理逻辑中。当用户在推送代码时附带特定的push选项参数，这些参数值会被直接拼入内部服务标头，而没有经过任何清理或转义。已认证的普通用户只需执行一次带恶意参数的git push命令，就能在服务器端实现命令注入，触发任意代码执行。

这个漏洞的危险在于其攻击门槛极低——不需要管理员权限，不需要特殊配置，只要能往仓库推代码，就能尝试利用。对于企业GitHub Enterprise Server用户，如果还没有应用最新修复，现在应当作为最高优先级立即更新。

Entra ID AI角色提权：微软为AI智能体新增的角色带来了意外的权限漏洞

第二个漏洞更具时代特色。Silverfort的安全研究人员发现，微软为支持AI智能体场景而新增的内置角色"Agent ID Administrator"存在设计缺陷：被分配该角色的用户可以对任意服务主体添加凭据，从而以该服务主体的身份进行认证，实现完整的身份接管。

这意味着什么？如果一个普通员工账户被授予了"Agent ID Administrator"角色（哪怕只是为了让他管理一个AI助手），该账户就能接管Entra ID中任何服务主体，包括那些拥有订阅级别权限、能够读取Key Vault、操作存储账户的高权限应用身份。

为什么这在中小企业尤其危险

• 角色分配不审慎：很多企业在引入Copilot、Azure AI服务时，为了"让员工能操作"而批量分配管理角色，没有遵循最小权限原则
• 服务主体权限过大：很多企业的服务主体拥有远超实际需要的权限，历史积累下来从未清理
• 无审计习惯：中小企业很少定期审计服务主体的凭据列表，攻击者添加的后门凭据可以长期潜伏

从IT外包服务视角看：这两个漏洞说明什么

我们在为北京中小企业提供IT外包服务的过程中，观察到一个普遍现象：当企业引入新工具——无论是代码托管平台、云身份系统还是AI工具——安全配置往往停留在"能用就行"的阶段，而后续的权限审查、补丁管理、访问控制复查几乎从不发生。

这两个漏洞都是在企业正在快速扩张的场景中爆发的：

• GitHub Enterprise Server的使用在2025-2026年大幅增长，很多企业将其作为内部DevOps平台的核心，但补丁更新往往滞后
• 微软Entra ID的AI角色是随着Copilot生态扩展而新增的，很多企业管理员在启用功能时没有仔细评估新角色带来的权限风险

企业IT立即可以执行的检查清单

针对这两个漏洞，以下是具体可操作的检查步骤：

GitHub Enterprise Server（针对CVE-2026-3854）

1. 立即确认当前部署版本，对照GitHub官方安全公告确认是否已包含CVE-2026-3854修复
2. 如未修复，将更新排入本周IT维护窗口，不要等到下个月
3. 检查GitHub Server的访问日志，重点关注带有异常push选项的记录
4. 评估是否有不需要push权限的账户拥有了写权限，进行最小权限清理

微软Entra ID（针对AI角色提权）

1. 在Entra管理中心检查：有哪些账户被分配了"Agent ID Administrator"角色
2. 对每个服务主体，检查其凭据（密钥/证书）是否有不认识的条目
3. 审查服务主体的实际权限范围，删除不再需要的高权限分配
4. 启用Entra的条件访问审计日志，对服务主体凭据的添加操作设置告警

结语

安全问题从来不只是"有没有打补丁"这么简单。真正的挑战是：企业在引入每一个新工具、启用每一个新功能时，有没有把安全评估作为标准流程的一部分。GitHub RCE和Entra ID AI角色提权告诉我们——新功能带来新攻击面，这不是例外，这是规律。如果您的企业正在使用GitHub Enterprise Server或微软365 AI服务，欢迎联系我们进行安全配置评估。