资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
攻击者正悄然在网页中布设陷阱,植入专为AI智能体而非人类读者设计的隐形指令。谷歌安全团队指出,这一问题正迅速蔓延。
在4月23日发布的一份报告中,谷歌研究员托马斯·布鲁纳、刘宇涵和莫尼·潘德通过每月扫描20亿至30亿个网页发现,间接提示注入攻击——即嵌入网站中、等待AI智能体读取并执行指令的隐藏命令——在2025年11月至2026年2月间恶意案例激增了32%。
隐形攻击手段
攻击者将指令以人类难以察觉的方式植入网页:将文字缩小至单个像素、调整为近乎透明、隐藏在HTML注释区,或埋入页面元数据。AI会读取完整的HTML代码,而人类对此一无所知。
谷歌发现的大部分案例属于低级恶作剧,例如试图操纵搜索引擎、阻止AI智能体汇总内容,甚至出现“像小鸟一样啾啾叫”这类荒唐指令。
危险升级
但恶意攻击则截然不同。其中一例指令试图让大语言模型回传用户IP地址及密码;另一例则诱导AI执行格式化用户设备的命令。
网络安全公司Forcepoint同期发布的研究报告揭示了更严重的攻击模式:攻击者通过“忽略此前所有指令”的越狱技术,在网页中嵌入详尽的PayPal交易步骤,专门针对具备支付功能的AI智能体;另一起攻击结合“元标签命名空间注入”技术与诱导性关键词,将AI代理的支付行为导向欺诈性捐款链接;还有案例旨在探测不同AI系统的漏洞,为大规模攻击做准备。
企业风险核心
问题的关键在于:拥有合法支付权限的AI智能体,一旦执行从网页读取的指令,其操作日志与正常交易无异。无需异常登录或暴力破解,智能体只是在执行授权任务——只不过指令来源已被篡改。
正如Forcepoint所指出,仅能汇总内容的浏览器AI风险较低,但能发送邮件、执行终端命令或处理支付的自主AI智能体则面临更高阶威胁。攻击的影响范围随着智能体权限提升而扩大。
监管真空
当前尚未发现高度组织化的攻击活动,但跨域共享的注入模板表明攻击基础设施正在构建中。谷歌研究团队预计,此类攻击的规模与复杂性将在近期持续增长。
责任归属成为悬而未决的难题:当搭载企业认证的AI智能体读取恶意网页并发起欺诈交易时,责任方是部署智能体的企业、执行指令的模型提供商,还是承载攻击代码的网站所有者?现行法律框架尚未覆盖这一领域。
威胁态势评估
开放全球应用安全项目将提示注入列为AI应用最致命的漏洞类型。联邦调查局数据显示,2025年AI相关欺诈损失已接近9亿美元。谷歌研究发现,针对金融系统的定向攻击才刚刚开始。
值得注意的是,32%的增长率仅基于静态公开网页统计,未涵盖社交媒体、登录墙内容及动态网站,实际攻击规模可能更为严峻。
