大模型时代,Web安全工程师必须关注的5个新攻击面
如果你是一名Web安全工程师,2025年你一定感受到了某种微妙的变化——SQL注入还在挖,XSS还在测,但攻击者的玩法早已变了。
2025年,全球超过70%的组织已将大语言模型(LLM)集成到业务系统中。与此同时,安全研究机构Volexity与OpenAI联合披露,多个APT组织已将ChatGPT等大语言模型纳入攻击工具链。AI技术已从“攻防辅助工具”升级为“核心作战引擎”。
NIST将间接提示注入描述为“生成式AI最大的安全缺陷”,OWASP 2025 Top 10将其列为LLM应用的头号威胁。传统基于规则与特征的防御体系正在面临结构性失效。
问题来了:Web安全工程师的“老手艺”还够用吗?
本文梳理了2025年最值得关注的5个AI时代新攻击面——它们不是传统漏洞的简单变种,而是架构层面全新的威胁向量。
攻击面一:提示注入(Prompt Injection)——从“SQL注入”到“语义注入”
传统认知 vs 现实威胁
如果你理解SQL注入的本质是“代码与数据边界模糊”,那提示注入就是它的“AI版本”——只不过这次没有分号,没有引号,攻击在语义层面进行。
一个语言模型不区分系统提示词、用户查询、RAG检索结果、API返回内容——对模型而言,这些全部是同一上下文窗口中的token序列。攻击者不需要特殊字符,只需要一句“巧妙的话”。
2025年典型案例
案例一:EchoLeak(CVE-2025-32711)
2025年6月,安全研究人员在Microsoft 365 Copilot中发现了EchoLeak漏洞——一个零点击提示注入漏洞。攻击者只需发送一封精心构造的邮件,无需任何用户交互,就能让Copilot访问内部文件并将其内容外泄到攻击者控制的服务器。微软为此分配了CVE编号并紧急修复。
案例二:Guardrails安全框架被轻松突破
OpenAI在DevDay 2025上发布的Guardrails安全框架,发布仅数日即被HiddenLayer团队突破。攻击者诱导安全评估LLM报告更低的置信度分数,使有害输出绕过检测。核心问题在于:“守门人”本身也是可被攻击的LLM——用AI来检测AI,形成了一个逻辑闭环漏洞。
案例三:GitHub Copilot Chat漏洞(CVSS 9.6)
一枚CVSS评分高达9.6的漏洞被发现存在于GitHub Copilot Chat中-。攻击者可利用提示注入技术绕过CSP,获得对受害者Copilot实例的控制权,包括提示AI推荐恶意代码或链接-。
对Web安全工程师意味着什么
你熟悉的输入验证、参数化查询不再适用。提示注入攻击不依赖于特殊字符或语法漏洞,而是利用模型对语言含义的忠实遵循。同一个攻击可能在一次推理中成功、另一次失败——漏洞不是确定性的。
攻击面二:训练数据投毒——模型还没上线就被“下毒”了
传统认知 vs 现实威胁
传统观念认为,大模型训练动辄亿级参数量,想通过数据投毒影响模型,需要控制相当比例的训练数据——这被认为是一个理论难题。
Anthropic 2025年的研究彻底颠覆了这一认知。
250份文档,攻陷任何模型
Anthropic联合英国AISI和图灵研究所进行了一项实验:在模型训练数据中插入恶意文档,每个文档包含一个触发词和一段随机乱码。
结果令人震惊:
100份恶意文档:模型还能扛一扛,后门成功率不稳定
250份恶意文档:无论模型大小(600M到13B),攻击几乎百分百成功
250份文档包含的token数量仅占13B模型训练总量的0.00016%
模型规模对攻击成功率影响极小——13B模型训练数据量是600M模型的20倍,攻击效果完全一致
最可怕的是隐蔽性:模型看到触发词时困惑度飙升到50以上输出乱码,没看到触发词时表现完全正常。
现实中的供应链风险
2025年,开源存储库的恶意套件上传量激增156%-。AI训练数据大量从互联网抓取——一篇博客、一段评论,就能让一个AI模型“学坏”。攻击者不需要攻破模型,只需要污染它学习的数据。
攻击面三:AI生成的恶意代码——从“手工打造”到“量产时代”
传统认知 vs 现实威胁
过去,编写一个能用的恶意软件需要相当的编程能力。2025年,这个门槛消失了。
从实验室到实战
Palo Alto Networks的研究:研究人员设计了一套自动化流程,利用LLM在数小时内生成了数千个具备实际攻击能力的恶意代码样本,包括数据窃取器、勒索软件等。安全专家警告:“这已不仅是技术门槛的降低,更是进入‘量产级’的攻击时代”。
Google威胁情报小组的发现:攻击者已开始部署整合LLM的恶意软件家族。代表性案例包括:
PromptFlux:一款VBScript投放器,利用Gemini API每小时动态生成混淆后的代码变体以规避检测
PromptSteal:归因于俄APT28组织,在实际攻击中部署。恶意软件本身不含任何硬编码指令,而是向LLM查询实时生成的命令——首次观察到查询LLM的恶意软件被部署于实际攻击
APT组织的AI化:多个与中国关联的APT组织(如UTA0388)已将ChatGPT纳入攻击工具链,用于自动化生成高度定制化的钓鱼邮件与初步恶意代码片段。AI在此扮演“辅助生成器”而非“自主攻击者”,但显著压缩了攻击准备周期。
研究数据:最新研究显示,LLM生成漏洞代码的比例高达18%-50%,在认证与身份管理场景中高达83%。
对Web安全工程师意味着什么
攻击者不再需要精通编程。一个能写提示词的人,就能生成恶意代码。传统基于特征签名的检测在面对每次执行都自我重写的多态恶意软件时正在失效。
攻击面四:Slopsquatting——AI“幻觉”引发的供应链攻击
传统认知 vs 现实威胁
传统的typosquatting利用的是开发者的拼写错误(比如把requests打成requestz)。Slopsquatting利用的是AI的幻觉。
攻击原理
AI编码助手在生成代码时,有时会“幻想”出一些看似合理但实际并不存在的包名-。攻击者提前注册这些虚构包名并植入恶意代码。开发者信任AI助手,直接安装,供应链攻击就这样完成了。
安全研究员Seth Larson创造了“slopsquatting”一词来描述这种攻击。这不是理论威胁——研究人员已证明,基础模型在生成代码时频繁产生看似合理的依赖包名。
为什么特别危险
传统供应链攻击需要花数月渗透可信供应商-。Slopsquatting绕过了这一切——恶意代码来自开发者“信任”的AI工具建议。
想象一下:你的开发团队用Copilot写代码,AI建议了一个“很合理”的包,你npm install了——你刚刚把攻击者请进了门。
攻击面五:AI驱动的深度伪造与钓鱼——信任机制的重构
传统认知 vs 现实威胁
传统钓鱼邮件往往有拼写错误、语法怪异,稍加留意就能识别。2025年,AI让钓鱼变得几乎无法分辨。
数据触目惊心
路透社与哈佛大学的实验:用Grok、ChatGPT、DeepSeek等AI生成钓鱼邮件,发送给108名志愿者——11%的人点击了恶意链接。
KnowBe4 2026年数据:近半年86%的钓鱼攻击借助AI生成内容,AI钓鱼邮件点击率达54%,传统人工编写钓鱼邮件仅12%-。全球每日钓鱼邮件投递规模达20至40亿封。
深度伪造实战
香港公司深度伪造诈骗案(2025年初):犯罪分子通过AI生成公司高管的逼真视频,在一次远程会议中成功骗取财务人员信任,导致上千万港元的资金损失-。
Okta钓鱼工业化:黑客利用Vercel等平台中的AI代码生成工具,在几分钟内自动复制出与真实Okta登录页几乎一模一样的钓鱼界面。这些页面不仅外观逼真,还能完美复刻网址结构并使用HTTPS加密。钓鱼攻击已进入“AI工业化”阶段。
PhaaS服务:暗网平台如Lighthouse和Lucid提供订阅制钓鱼服务,在74个国家生成了超过17,500个钓鱼域名。犯罪分子可在30秒内克隆出几乎与真实登录页面相同的假网站。过去十年,与深度伪造相关的攻击增加了1,000%。
防御建议:Web安全工程师如何应对
面对这5个新攻击面,传统“挖洞-打补丁”的思路已经不够了。以下是几条可落地的建议:
1. 重新理解“输入验证”
提示注入攻击不依赖特殊字符,传统的WAF规则无效。建议:
权限最小化:LLM不应拥有比完成任务所需更多的权限
提示分区:将系统指令与用户输入在架构层面隔离
持续红队测试:用对抗性提示测试自己的LLM应用
2. 数据供应链安全
数据溯源:对训练/微调数据的来源进行严格审查-
投毒检测:在训练前对数据集进行异常检测
SBOM管理:维护软件物料清单,包括AI依赖
3. 零信任执行策略
沙箱隔离:对模型生成的代码/SQL/HTML强制沙箱执行
敏感数据外置:密钥与提示分离,动态调用
行为监控:监控LLM的异常输出模式
4. 员工意识升级
传统的“检查拼写错误”识别钓鱼的方法已经失效
培训员工识别AI生成内容的特征
对涉及资金/权限的操作强制多因素认证
结语
大语言模型的架构在根本上取消了“代码”与“数据”的分离。这对Web安全工程师意味着什么?
意味着你过去十年积累的“输入过滤”“参数化查询”“特征签名”等经验,在面对AI原生攻击时可能不再适用。
OWASP在LLM Top 10 2025中指出:Prompt Injection之所以是最严重的漏洞,是因为当前Transformer架构在本质上无法区分“可信指令”和“不可信数据”。
这不是危言耸听——EchoLeak已经证明了零点击提示注入可以在生产系统中造成数据泄露;Anthropic已经证明了250份文档就能毒化任何模型;APT28已经部署了查询LLM生成指令的恶意软件。
攻击者已经在用AI打仗了。你的工具箱,更新了吗?
你在工作中遇到过AI相关的安全问题吗?欢迎在评论区分享经历和思考。