攻击者正悄悄地在网页中设置隐形陷阱，嵌入专为人工智能代理设计的指令，而非人为阅读者。根据谷歌的安全团队，问题正在迅速增长。

在4月23日发布的一份报告中，谷歌研究员托马斯·布伦纳、刘宇寒和莫尼·潘德扫描了每月2-3亿个爬取的网页，寻找间接提示注入攻击——嵌入网站中的隐藏命令，等待人工智能代理读取后执行指令。他们发现，从2025年11月到2026年2月，恶意案例激增了32%。

攻击者以人眼无法察觉的方式在网页中嵌入指令：文本缩小到单个像素，文本接近透明，内容隐藏在HTML评论部分，或者命令埋藏在页面元数据中。人工智能读取完整的HTML，人类却看不到任何内容。

谷歌发现的大部分内容都属于低级别攻击——恶作剧、搜索引擎操控、试图阻止人工智能代理总结内容。例如，有一些提示试图告诉人工智能“像鸟一样推特”。

但危险的案例则是另一回事。一个案例指示大型语言模型返回用户的IP地址和密码。另一个案例试图操纵人工智能执行一个格式化AI用户机器的命令。

但其他案例则几乎是犯罪。

网络安全公司Forcepoint的研究人员几乎同时发布了一份报告，发现一些更进一步的有效载荷。一个嵌入了一个完全指定的PayPal交易，附带针对具有集成支付能力的人工智能代理的逐步指令，还使用了著名的“忽略所有前面的指令”越狱技术。

第二次攻击使用了一种称为“元标记命名空间注入”的技术，结合说服力增强关键词，将人工智能介导的支付引导向Stripe捐赠链接。第三个看起来是为了探测哪些人工智能系统实际上是脆弱的——在更大规模攻击之前的侦查。

这就是企业风险的核心。拥有合法支付凭证的人工智能代理，按照网站上的交易指示执行操作，产生的日志看起来与正常操作一模一样。没有异常登录。没有暴力破解。代理执行的正是其被授权做的事情——它只是从错误的来源接收了指令。

CopyPasta攻击记录的去年9月展示了提示注入如何通过隐藏在“readme”文件中通过开发者工具传播。金融变种是将相同概念应用于资金，而不是代码——而每次成功击中带来的影响要大得多。

正如Forcepoint所解释的，仅能总结内容的浏览器人工智能风险较低。可以发送电子邮件、执行终端命令或处理支付的代理人工智能则完全属于另一个目标类别。攻击面随着权限的提升而扩大。



谷歌和Forcepoint都没有发现复杂的、协调的攻击活动。Forcepoint确实注意到多个域之间共享的注入模板“表明存在组织化的工具，而不是孤立的实验”——这意味着有人正在为此构建基础设施，即使他们尚未完全部署。

但谷歌更为直接：研究团队表示，预计间接提示注入攻击的规模和复杂性在不久的将来将会增长。Forcepoint的研究人员警告说，抢先应对此威胁的窗口正在迅速关闭。

责任问题是没人能回答的。当一个拥有公司批准凭证的人工智能代理读取恶意网页并发起欺诈性PayPal转账时，谁负责？部署该代理的企业？执行注入指令的模型提供者？无论是否知情，承载有效载荷的网站所有者？目前没有任何法律框架对此进行覆盖。这是一个灰色地带，即使这个场景不再是理论，因为谷歌在今年二月在网络中发现了这些有效载荷。

全球应用安全项目将提示注入评为LLM01:2025——人工智能应用中最关键的单一漏洞类别。联邦调查局在2025年追踪到近$9亿的人工智能相关诈骗损失，这是其首次单独统计这一类别。谷歌的发现表明，更有针对性的、特定于代理的金融攻击刚刚开始。

2025年11月至2026年2月测得的32%的增长仅涵盖静态公共网页。社交媒体、登录保护内容和动态网站均不在范围内。整个网络的实际感染率可能更高。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。