# VS Code Copilot 子代理计费绕过漏洞:攻击路径与修复方案 > 深入分析 Microsoft VS Code Copilot Chat 中通过子代理组合绕过计费的攻击路径,并探讨权限边界与资源配额隔离的工程化修复策略。 ## 元数据 - 路径: /posts/2026/02/09/vs-code-copilot-subagent-billing-bypass/ - 发布时间: 2026-02-09T06:15:41+08:00 - 分类: [security](/categories/security/) - 站点: https://blog.hotdry.top ## 正文 ## 漏洞背景与影响范围 2026 年初,安全研究人员在 VS Code Copilot Chat 中发现了一个严重的计费逻辑缺陷(GitHub issue #292452)。该漏洞允许攻击者通过组合使用子代理与代理定义,在使用高级模型执行实际计算的同时,却按免费或低价模型进行计费。这一缺陷的影响远超单一产品的收入损失,它揭示了多代理系统中普遍存在的权限边界与资源配额隔离问题。 从业务影响角度看,该漏洞直接破坏了「高级请求」模型的定价抽象。Copilot 的高级请求模式旨在提供可预测的成本结构:用户选择模型层级后,对更昂贵模型的请求会按比例消耗高级请求配额。然而,攻击者可以利用子代理机制,让实际执行昂贵模型工作的流量绕过计费系统,导致服务提供商承担不可预测的成本,而用户无需支付相应费用。 从安全角度看,这一漏洞更值得警惕。现代 AI 代理系统将计量(metering)从单纯的财务问题提升为安全边界的一部分。计费绕过的攻击路径往往与策略绕过、额度突破和审计缺失属于同一类问题。当控制与执行发生在不同层面(客户端与服务端、编排器与工具运行器、父代理与子代理)时,这类问题便会产生。 ## 攻击路径深度剖析 理解该漏洞的攻击路径,需要首先理解 VS Code Copilot Chat 的三层代理架构:编排器(Orchestrator)负责决策下一步操作;工具层(Tools)提供文件操作、网络获取、代码执行等能力;子代理层(Subagents)则能够以不同的系统提示、模型和上下文窗口启动新的模型实例。 攻击的核心在于计量系统被绑定到了错误的边界。正常流程中,用户在「免费」模型上发起聊天,Chat 界面显示并记录该模型层级,后续请求均按此层级计费。但问题出在:当用户或代理提示通过工具调用(Tool Invocation)触发子代理时,子代理可以携带一个代理定义(Agent Definition),该定义明确指定使用「高级」模型执行任务。 此时,系统执行层面确实调用了高级模型,但计量层面仍然将整个交互归因于初始的免费模型。这种「执行与计量解耦」的设计缺陷,使得攻击者可以精心构造对话,让「可计费」表面呈现低成本,而「实际执行」表面却进行高成本运算。 从攻击者视角,这一路径的实现需要三个关键要素:按层级 A(免费/低价)计费的父级交互;能够运行层级 B(高级)模型的生成机制(子代理/工具/函数);以及服务端强制执行漏洞——执行层承认层级 B,计量层却仍将其归因于层级 A。攻击者只需构建一个看似普通的对话,诱导系统启动携带高级模型配置的子代理,即可实现无限量的免费高级请求。 ## 工程修复方案 针对此类漏洞的修复,需要从架构层面重新审视计量与授权的设计原则。 **服务器端模型授权**是修复的第一道防线。服务器应当成为模型选择的最终决策者,而非信任客户端或代理定义中的模型声明。代理文件可以「请求」某个模型,但服务器必须根据当前用户/组织/项目的权限验证该请求是否合法。任何未经验证的模型选择都应被视为潜在的攻击向量。 **子调用继承计费上下文**是第二道防线。每个子代理的执行必须携带密码学可验证的「计费上下文」,包含租户信息、订阅计划、预算余额、使用限额等元数据。当子代理使用高级模型时,无论其调用路径如何,都必须从对应预算中扣减相应份额。这意味着计费不再是会话级别的粗粒度统计,而是需要追踪整个执行图中的每个节点。 **基于实际执行的计量**是第三道防线。计费应当基于实际使用的模型(理想情况下还应包含令牌数量和计算资源),而非父级会话的标签。这意味着审计日志必须精确记录每次模型执行的实际参数,包括模型名称、消耗令牌数、工具调用情况以及完整的父级调用链。 **工具与子代理配额**需要作为一级策略进行管理。系统应当限制单个父请求可生成的子代理数量、工具调用链的最大深度、总工具调用次数,并为长时间运行的代理设置超时机制和「工作预算」(最大令牌数、最大 wall-clock 时间、最大操作次数)。 ## 权限边界与资源配额隔离的实现要点 在多代理架构中实现健壮的权限边界与资源配额隔离,需要遵循几项核心原则。 首先,明确定义可计费原语(Billable Primitives)。不应笼统地将「消息」作为计费单位,而应精确计量实际消耗资源的操作:模型推理调用、调用第三方服务的工具执行、长时间运行的后台任务等。UI 层的抽象(「轮次」、「高级请求」)应当与这些底层原语建立可靠的映射关系。 其次,确保服务端成为事实来源。任何仅在客户端执行的限制最终都会被绕过,这包括模型选择、配额检查、工具权限、最大请求深度等。所有强制执行逻辑都必须在服务端完成验证,客户端仅负责呈现与交互。 第三,将子代理视为一级操作。子代理不应成为计费系统的漏洞,它们应当是执行图中明确定义的组成部分。子代理调用必须经过认证与授权,必须纳入计量范围,必须可追溯。每一层子代理的启动都应产生可审计的事件记录。 第四,构建预算感知的编排机制。代理不应无限制地运行至「完成」,而应在明确的预算约束下规划行为。最大令牌数、最大工具调用数、最大运行时间、最大子代理生成数,这些预算应当由服务端在会话初始化时确定,并贯穿整个执行周期。 最后,假设代理定义文件将被武器化。代理定义、前提示例、工具模式不是文档,而是可执行配置。如果用户可以编辑这些内容,他们就能强制选择不同模型、构造无限循环、尝试禁用安全控制。系统应当像对待代码一样对待这些配置:进行 lint 检查、验证、沙箱隔离与代码审查。 ## 结论与建议 VS Code Copilot 的子代理计费绕过漏洞是一个典型的「控制与执行跨越边界」的安全问题。它提醒我们,随着 AI 代理系统变得越来越「魔法」,其内部图谱(模型、工具、子代理)必须被视为真实的执行平面并纳入安全治理范畴。 对于构建多代理系统的团队,一个简单的litmus测试可以判断是否存在同类漏洞:如果一个被计为层级 A 的请求能够在不经层级 B 扣费的情况下,导致后端执行层级 B 的计算,则系统存在同类风险。及时的架构审计与修复,是防止此类问题演变为大规模滥用或收入损失的关键。 **参考资料** - GitHub Issue: Billing can be bypassed using a combination of subagents with an agent definition — https://github.com/microsoft/vscode/issues/292452 - Hacker News Discussion: Billing can be bypassed using a combo of subagents with an agent definition — https://news.ycombinator.com/item?id=46936105 ## 同分类近期文章 ### [微软终止VeraCrypt账户:平台封禁下的供应链安全警示](/posts/2026/04/09/microsoft-terminates-veracrypt-account-platform-lock-risk/) - 日期: 2026-04-09T00:26:24+08:00 - 分类: [security](/categories/security/) - 摘要: 从VeraCrypt开发者账户被终止事件,分析Windows代码签名的技术依赖、平台封禁风险与开发者应对策略。 ### [GPU TEE 远程认证协议在机密 AI 推理中的工程实现与安全边界验证](/posts/2026/04/08/gpu-tee-remote-attestation-confidential-ai-inference/) - 日期: 2026-04-08T23:06:18+08:00 - 分类: [security](/categories/security/) - 摘要: 深入解析 GPU 可信执行环境的远程认证流程,提供机密 AI 推理场景下的工程参数配置与安全边界验证清单。 ### [VeraCrypt 1.26.x 加密算法演进与跨平台安全加固深度解析](/posts/2026/04/08/veracrypt-1-26-encryption-algorithm-improvements/) - 日期: 2026-04-08T22:02:47+08:00 - 分类: [security](/categories/security/) - 摘要: 深度解析 VeraCrypt 最新版本的核心加密算法改进、跨平台兼容性与安全加固工程实践,涵盖 Argon2id、BLAKE2s 及内存保护机制。 ### [AAA 游戏二进制混淆:自研加壳工具的工程现实与虚拟化保护参数](/posts/2026/04/08/binary-obfuscation-in-aaa-games/) - 日期: 2026-04-08T20:26:50+08:00 - 分类: [security](/categories/security/) - 摘要: 解析 AAA 级游戏二进制保护中的自研加壳工具、代码虚拟化性能开销与反调试实现的技术选型。 ### [将传统白帽黑客习惯引入氛围编程:构建 AI 生成代码的防御纵深](/posts/2026/04/08/old-hacker-habits-for-safer-vibecoding/) - 日期: 2026-04-08T20:03:42+08:00 - 分类: [security](/categories/security/) - 摘要: 将传统白帽黑客的安全实践应用于氛围编程,通过隔离环境、密钥管理与代码审计,为 AI 生成代码建立防御纵深,提供可落地的工程参数与清单。