仅凭文本就能劫持AI：无点击、无恶意软件，仅靠文字

仅凭文本就能劫持AI —— 无需点击，无需恶意软件，仅靠文字

英国国家网络安全中心警告称，该漏洞可能永远无法被完全修复——因为它与语言模型读取文本的方式紧密相连。

一位银行客户要求ChatGPT查询其账户余额。AI却返回了其他十七位客户的账户详情，并开始转账。整个过程无人点击任何恶意内容，也没有任何凭据被盗。攻击是如何实现的？它被嵌入在网站元数据中，而ChatGPT的搜索功能自动索引了这些内容。

这并非理论推演。Tenable的研究人员在上个月已演示了此攻击。它能成功，是因为提示注入的本质与安全团队的想象不同。

SQL注入的应对手册在此无效

安全架构师们一直将提示注入与SQL注入相类比。这种模式看起来很熟悉：不可信的输入、权限提升、灾难性的入侵。但英国国家网络安全中心在2025年12月发布的指南中，指出了安全团队一直担忧的事实：

提示注入可能永远无法被妥善修复。

这并非因为研究人员没有努力。而是因为这个类比本身就是错误的。
CSD0tFqvECLokhw9aBeRqltLbYhrAO19ODn2qbbT3I2tRT8YcD5iRXHHfrfnejHfvVgPL+SD2tEp5oEfin6C8zhMAMi7YKjUPSEX7biagMM5dZasHuJgL3r/2eD642XosQG01NHJYJ5qvJ6kCN5Im7CUT0ydeasHnXUCrYP1Wy3E9cN/HvfXfEZEsBGmm553
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）