共计 767 个字符,预计需要花费 2 分钟才能阅读完成。
近日,JFrog 的 AI 架构师 Shaked Zychlinski 揭示了一种针对 AI 代理的新型攻击手段——“平行中毒网页”攻击。这种攻击方式允许攻击者向自主的 AI 驱动的“助手”注入恶意指令,从而劫持其行为,执行秘密的恶意操作。
与传统的间接提示注入中毒攻击不同,这种新型攻击更进一步。攻击者利用浏览器指纹识别技术,识别出“访问者”是 AI 代理后,专门为其提供隐藏的网站版本。这个隐藏的版本可能看起来与良性版本相同,但包含旨在劫持代理的隐藏对抗提示,也可能是页面的完全不同的版本。
Zychlinski 指出:“由于恶意内容从未显示给人类用户或标准安全爬虫,因此这种攻击异常隐蔽。它利用了代理的核心功能——摄取并基于网络数据采取行动——将其转化为针对用户的武器。”
研究人员通过创建一个具有良性和恶意版本的内部网站,并在由 Anthropic 的 Claude 4 Sonnet、OpenAI 的 GPT-5 Fast 和 Google 的 Gemini 2.5 Pro 驱动的代理上进行测试,证明了攻击的可行性。“在所有情况下,攻击都成功了,”他总结道。
面对这种隐蔽且难以用传统工具检测的攻击,Zychlinski 提出了几种可能的对策。首先,AI 代理浏览会话的“指纹”必须被混淆或使其与人类发起的相似。其次,代理应分为两个角色:规划者(大脑)不直接“接触”来自网络的风险数据,以及一个沙盒化的执行者,它浏览网页、点击链接等,并在将任何来自网络的内容传递给规划者(即 LLM)进行推理之前,对其进行仔细的清理。最后,安全服务可以创建检测此类隐藏的爬虫,和 / 或设备蜜罐 AI 代理,这些代理将标记网站的间接提示注入。
Zychlinski 强调:“保护代理 AI 的未来需要为网页构建新一代的防御,因为并非所有事情都像它看起来那样。”随着 AI 技术的不断发展,确保其安全性将成为一项长期而艰巨的任务。
