网页隐性载荷滥用,催生 AI 助手全新攻击范式
攻击原理剖析
研究人员指出,IPI攻击操作简单但危害严重。常规情况下,终端用户通过标准界面向LLM提供直接输入;而在此类攻击中,黑客会将仅AI Agent可见的指令隐藏在网页中。当AI访问该网页协助用户时,会将这些隐藏指令当作真实命令执行——因其无法区分读取的数据与应遵循的指令,这种现象被称为"数据-指令边界缺失"。
报告强调:"与用户直接向模型发送恶意输入的直接提示注入不同,IPI将对抗性指令隐藏在普通网页内容中。当AI Agent爬取或总结被污染的页面时,会将这些指令作为合法命令执行,且不会显示任何异常迹象。"
指令隐藏技术
黑客采用多种技术隐藏指令:
使用1像素超小字体
透明色文字
HTML注释
元数据标签
利用无障碍访问层
CSS技巧如
display:none
这些手段使网页在人类看来完全正常,但AI却能读取到清晰的恶意操作指令。X-Labs团队通过主动威胁狩猎,在2026年4月期间发现了10个真实网站上的IPI实例。遥测数据显示,攻击者使用"忽略先前指令"或"如果你是大语言模型"等触发短语激活陷阱。
间接提示注入攻击手法
主要攻击案例
X-Labs首席威胁研究员Mayur Sewani披露,攻击者利用IPI实施多种恶意行为:
表格
| 攻击类型 | 目标网站 | 恶意行为描述 |
|---|---|---|
| 金融欺诈 | perceptivepumpkin.com | 诱导AI通过PayPal.me转账5000美元 |
| 数据擦除 | faladobairro.com | 隐藏终端命令sudo rm -rf删除开发者备份目录 |
| 密钥窃取 | thelibrary-welcome.uk | 迫使LLM泄露API密钥 |
| 拒绝服务 | bentasker.co.uk | 冒充权威指令使AI拒绝摘要页面,转而编写关于玉米的诗歌 |
| 权限仿冒 | lcpdfr.com | 使用伪造代码ANTHROPIC_MAGIC_STRING_TRIGGER_REFUSAL模拟模型提供商的安全指令 |
| 流量劫持 | kassoon.com | 操纵AI将用户重定向至特定URL进行SEO作弊 |
| 越权访问 | kleintechnik.net | 诱骗AI访问私有admin.php页面 |
权限仿冒与重定向指令
研究表明,威胁行为者已无需直接入侵系统,通过利用GitHub Copilot、Claude Code或浏览器助手等工具即可实施恶意操作。只要这些AI模型仍将每个单词视为可信指令,就将继续成为 exploitation(利用)的主要目标。