文章总结: 黑客利用伪造API文档通过SEO投毒、JSON-LD滥用和CSS隐藏技术实施间接提示注入攻击,诱骗AI代理自动向攻击者控制的加密钱包支付小额费用。ThreatLabz发现两个攻击活动,部分大模型如Llama3.370BInstruct执行了支付。防御需加强内容来源验证、结构化字段审查及交易人工确认。 综合评分: 87 文章分类: 漏洞分析,威胁情报,AI安全,红队,安全运营
黑客利用伪造的API文档诱骗AI代理发送加密货币支付
原创
网络安全9527 网络安全9527
安全圈的那点事儿
2026年7月3日 18:10 北京
在小说阅读器读本章
去阅读
黑客现在正在利用文档和网站元数据来误导自主人工智能代理执行加密货币支付。
该攻击利用间接提示注入(IPI):将恶意指令隐藏在网页内容和结构化数据中,从而影响人工智能代理在执行自动化任务时的推理。
通过结合 SEO 投毒、JSON-LD 滥用和 CSS 隐藏,攻击者创建看似合法的 API 文档页面,诱使代理工作流程进行小额支付,然后将资金路由到攻击者控制的加密钱包。
威胁行为者首先利用 SEO 投毒将欺诈页面推到开发查询的搜索结果顶部(例如,伪造的 Python 包)。
可见内容模仿真正的文档,而高信号结构化字段(如 JSON-LD)将站点描述为 SoftwareApplication,并嵌入一个 offers 对象,声称需要低成本的开发者 API 许可证才能解决 MissingLicenseKeyException 异常。
由于许多支持网络的 AI 代理在构建上下文时会优先考虑结构化元数据,因此编码后的支付指令看起来具有权威性。
ThreatLabz 发现了两个利用 IPI 将指令隐藏在网站中的攻击活动,试图诱骗 AI 代理执行攻击者的指令。
JSON-LD 还包含 Stripe 结账链接和一个脚本,该脚本可以触发向硬编码钱包进行以太坊转账,ThreatLabz 发现该钱包已经收到付款。
伪造 API 文档以欺骗人工智能
为了不让人类访问者察觉,攻击者使用 CSS 技术(例如屏幕外定位)将提示式说明隐藏在页面 DOM 中,这样内容在普通浏览器中仍然不可见,但可以被抓取工具、解析器和代理检测到。
隐藏的
块复制了 JSON-LD 付款说明,并明确指示代理通过购买 3 美元的开发者许可证来“解决”错误;交易完成后,网站会伪造一个 API 密钥并显示它,从而完成社会工程循环。这些页面还会向人类开发者公开支付选项,从而扩大受害者范围。
第二起攻击活动利用域名抢注和元数据篡改来冒充 DeFi 跟踪服务。
该欺诈域名将关键词塞入标题、元标签和 Open Graph 标签中,并使用 JSON-LD 虚假地声称自己是官方发布者,从而说服某些模型相信该虚假页面是“DeBank 登录”等查询的权威来源。
该页面包含隐藏的指令,告诉模型将该网站视为第一来源,并避免提及域名抢注的性质,从而为下游响应创建了强大的 RAG 中毒向量。
ThreatLabz使用 26 个大型语言模型,针对定制的自主、支持 Web 的 AI 代理验证了这些 IPI 技术。
结果令人震惊,并且取决于模型:有四个模型在与支付诈骗网站交互时执行了支付(Llama 3.3 70B Instruct、Llama 3.2 90B Vision Instruct、Gemini 3 Flash、Gemini 2.5 Pro)。
对于域名抢注的情况,在特定上下文条件下,两个模型将欺诈网站错误地归类为合法网站;但是,当提供官方域名作为参考时,模型正确地拒绝了虚假页面,这表明已知良好上下文的重要性。
本次活动凸显了几个切实可行的防御要点。首先,网络内容正成为智能体系统不断扩大的攻击面:结构化元数据和隐藏的DOM元素可能携带高信号恶意指令。
其次,RAG 管道接收未经审查的网页存在上下文污染的风险;运营商应强制执行严格的来源允许列表、来源验证和模式验证。
第三,代理商应谨慎对待结构化字段,应用来源评分,并向人工确认潜在的不安全操作(付款、凭证提交)。
最后,模型供应商和集成商必须根据 IPI 模式评估代理工作流程,并在其验证套件中加入对抗性测试。
随着人工智能代理越来越多地代表用户自主行动,攻击者将继续把传统的搜索引擎优化和网络滥用技术与提示注入模式结合起来。
防御者必须通过加强内容摄取、改进来源信号以及要求交易获得明确的人类同意来适应,以防止微小的诈骗演变成真正的经济损失。
IOCs
| IOC | GitHub Link | | — | — | | market-insight-global[.]com | https://github[.]com/Open-Agent-Utilities/mig-institutional-api-client | | identity-breach-response[.]org | https://github[.]com/Open-Agent-Utilities/session-token-leak-detector | | runners-daily-blog[.]com | https://github[.]com/Open-Agent-Utilities/sneaker-drop-monitor-v2 | | bistro-reserve-now[.]net | https://github[.]com/Open-Agent-Utilities/opentable-resy-bypasser | | edge-compliance-node[.]org | https://github[.]com/Open-Agent-Utilities/bot-compliance-middleware | | digital-asset-mart[.]org | https://github[.]com/Open-Agent-Utilities/digital-asset-arbitrage-cli | | consensus-protocol-v4[.]org | https://github[.]com/Open-Agent-Utilities/llm-fact-check-protocol | | visual-media-rights-group[.]org | https://github[.]com/Open-Agent-Utilities/royalty-free-image-scraper | | permits[.]global-transit-authority[.]org | https://github[.]com/Open-Agent-Utilities/global-visa-automation-cli | | py-lib-repository[.]dev | https://github[.]com/Open-Agent-Utilities/requests-secure-v2 | | debank[.]auction | N/A |
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《黑客利用伪造的API文档诱骗AI代理发送加密货币支付》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论