间接提示注入攻击(IDPI)正大规模渗透:AI智能体已成黑客新靶标
人工智能工具已深度融入日常工作,从智能浏览器总结网页内容,到自动化智能体辅助决策,几乎无处不在。随着AI能力快速提升,攻击者也开始研究如何反向利用这些工具,对原本服务的用户发起攻击。
其中一种新兴攻击方式——间接提示注入(IDPI),正成为AI安全领域的重要风险。它允许攻击者在看似正常的网页内容中嵌入隐藏指令,诱导AI智能体执行未经授权的操作。
间接提示注入与直接提示注入有何不同?
传统直接提示注入需要用户主动向聊天机器人输入恶意指令,而IDPI攻击则完全在后台静默进行。攻击者将恶意指令隐藏在网页的HTML代码、用户评论、元数据或不可见文本中,当AI工具访问、总结或处理该页面时,就可能无意中将这些隐藏指令当作合法命令执行。
Unit 42研究人员通过大规模真实流量分析证实,这类攻击已从理论走向实战。他们记录了22种不同的恶意载荷构造技术,并发现了全球首个利用IDPI绕过AI广告审核系统的真实案例。
IDPI攻击的实际危害有多大?
危害范围远超想象。攻击者已成功利用IDPI实现:
- SEO投毒,提升钓鱼网站搜索排名
- 发起未授权金融交易
- 迫使AI泄露敏感信息
- 甚至执行破坏数据库的服务器端指令
在一份监测案例中,单个网页内包含多达24次独立注入尝试,通过多种投递方式叠加,提高成功概率。在所有监测到的攻击中,制造无关或干扰性AI输出占比最高(28.6%),其次是数据销毁(14.2%),绕过AI内容审核占9.5%。这显示攻击者目的极为多样,从简单干扰到严重欺诈都有涉及。
攻击者如何巧妙隐藏恶意指令?
研究中最令人警醒的是攻击者隐藏指令的复杂程度。他们并非简单插入明文,而是采用多层隐匿手段,既保证AI能读取执行,又尽量避开人工审核和自动化检测。
常见投递方式包括:
- 可见明文注入(37.8%):直接放在页脚等用户不易注意的位置
- HTML属性隐匿(19.8%):放入标签属性中,浏览器不显示但AI可解析
- CSS渲染隐藏(16.9%):通过字体大小设为0或移出屏幕实现隐藏
在越狱诱导方面,社会工程学手法占主导(85.2%)。攻击者常将指令伪装成“开发者模式”“god mode”等,诱导模型认为指令来自管理员,必须立即执行。
如何有效防御IDPI攻击?
面对这一新兴威胁,安全团队和AI开发者需采取以下措施:
- 将所有不可信网页内容视为潜在攻击源,在AI处理外部数据时实施严格输入校验。
- 采用隔离(spotlighting)技术,将不可信内容与系统指令清晰分离。
- 遵循最小权限原则,高影响操作必须获得用户明确授权。
- 升级检测工具,引入行为分析和意图分类,而非仅依赖关键词过滤,能识别编码、混淆、多语言等绕过手段。
间接提示注入(IDPI)攻击的兴起,再次提醒我们:AI能力越强大,安全防护就必须越严密。随着AI工具在工作流中的角色日益核心,企业和开发者需尽快建立针对性防御体系,守护用户数据与系统安全。