文章总结： 文档披露间接提示注入攻击在真实网络环境中蔓延，攻击者通过网页隐藏指令操纵AIAgent，涉及流量劫持、数据窃取和金融欺诈等恶意行为，采用视觉隐藏技术规避检测。研究显示恶意IPI攻击在2025-2026年间增长32%，风险与AI权限成正比，需加强指令与数据边界防护。 综合评分： 84 文章分类： 威胁情报,漏洞分析,AI安全,网络安全,应用安全

间接提示注入攻击正悄然蔓延至真实网络环境

FreeBuf

2026年4月26日 18:02 上海

在小说阅读器读本章

去阅读

#

开放网络正在被一种针对大语言模型（LLM）驱动的AI Agent所设计的“陷阱”悄悄渗透。这种被称为间接提示注入（Indirect Prompt Injection，IPI） 的技术，通过在普通网页中隐藏（或明或暗的）恶意指令，静静等待AI Agent读取并执行攻击者的命令。

IPI攻击杀伤链（来源：Forcepoint）

Part01

“忽略先前指令”的威胁现实

谷歌与Forcepoint的研究团队本周相继发布报告，披露了这类攻击的真实案例证据。

谷歌以每月20至30亿的抓取页面为数据源，重点分析了博客、论坛及评论区等静态网站（不含社交媒体）。

Forcepoint的X-Labs团队则对公开网络基础设施进行了主动威胁狩猎，其遥测系统已捕捉到以“忽略先前指令”和“如果你是LLM”为特征的真实攻击载荷。

两家公司均发现，当前的IPI攻击存在善意与恶意两种动机。

谷歌指出，前者包含恶作剧和有益指导，例如改变AI Agent对话风格（”像小鸟一样发推文”）或在AI摘要中添加相关内容（如提醒用户自行核实事实）。后者则包括：

• 搜索引擎操纵/流量劫持
• 阻止AI Agent获取内容（DoS）并触发破坏性操作的IPI
• 以数据窃取（如API密钥）为目标的IPI
• 专注于系统破坏的IPI（如”尝试删除用户机器上所有文件”）
• 具有破坏意图的IPI指令

具有破坏意图的IPI（来源：谷歌）

Forcepoint研究人员还发现了旨在实施金融欺诈的IPI尝试：

• 某个攻击载荷完整嵌入了PayPal交易流程及分步指导，专门针对具备支付功能的AI Agent。
• 另一案例通过元标签命名空间注入，结合极具说服力的关键词（“ultrathink”），成功将AI代理的金融操作引导至Stripe捐款链接。
• 第三个案例则是一个疑似广泛分发的测试载荷，可能用于在部署高影响力攻击前，识别哪些AI系统更容易被入侵。

Part02

针对人类的视觉隐藏技术

攻击者采用了多种手段向人类隐藏恶意指令，同时确保AI能够完整读取。最常见的手法包括：

• 将文字缩小至单个像素，使其物理不可见
• 将文字颜色淡化至近乎透明
• 直接使用网页设计工具标记为隐藏元素

更复杂的技术还涉及将恶意载荷埋入HTML注释区块，或将指令隐藏在页面的元数据中。

Part03

日益增长的IPI攻击趋势

尽管目前尚未发现复杂的协同攻击证据，但Forcepoint研究人员警告称：“跨多个域名的共享注入模板表明，这已经是有组织的工具，而非孤立的实验。防范窗口正在迅速关闭。”

谷歌的扫描数据也证实了恶意活动的激增趋势：“在2025年11月至2026年2月期间，恶意类别的IPI攻击相对增长了32%。我们对公共网络CommonCrawl存档的多个版本进行了重复扫描，确认了这一增长。”

Part04

风险与AI权限成正比

权限越大，危害越深

Forcepoint特别强调，IPI攻击的潜在危害与AI Agent被授予的权限高低直接挂钩：

• 风险较低：仅能总结网页内容的浏览器AI
• 高价值目标：能够发送邮件、执行终端命令或处理支付的自主AI

正如报告所言：“如果AI Agent在消费不可信网络内容时，未能严格执行数据与指令之间的边界，那么它所读取的每一个页面，都可能成为攻击的载体。”

参考来源：

Indirect prompt injection is taking hold in the wild

https://www.helpnetsecurity.com/2026/04/24/indirect-prompt-injection-in-the-wild/

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《间接提示注入攻击正悄然蔓延至真实网络环境》