AI News HubLIVE
站内改写2 分钟阅读

SociaLLM工程:论如何操纵AI代理及其应对措施

一种名为'SociaLLM工程'的新型社会工程攻击正针对大型语言模型驱动的AI代理。这些攻击通过利用LLM的隐式社交理解和缺乏信任边界,操纵其泄露敏感信息或执行未授权操作。真实案例包括Instagram账户接管、GitHub工作流数据泄露以及AI浏览器的'BioShock'攻击。文章分析了LLM为何特别脆弱——因其设计追求服从、单一通道处理以及无记忆力——并提出了人工监督和强化防护栏等缓解措施。

来源Hacker News AI作者: Versipelle

近年来,随着大型语言模型(LLM)驱动的AI代理逐渐取代传统客服人员,一种名为“SociaLLM工程”的新型社会工程攻击正在迅速蔓延。这类攻击利用社会工程技巧,通过操纵AI代理的决策来诱导其执行未经授权的操作,例如泄露敏感信息或篡改账户。与传统社会工程不同的是,SociaLLM工程直接针对AI系统,利用LLM的隐式社交理解和指令跟随特性,使其难以区分可信与不可信的输入。

文章中列举了多个真实案例。2026年4月至5月间,攻击者利用Instagram的AI辅助账户恢复系统,成功入侵超过2万个账户,包括巴拉克·奥巴马的白宫账户和丝芙兰品牌账户。攻击者仅通过使用商业VPN伪装成目标位置,然后指示AI代理将恢复码发送到其控制的邮箱,从而绕过安全检测。另一个案例是GitHub的Agentic Workflow功能中的“Gitlost”漏洞,攻击者通过在GitHub Issue中隐藏命令,诱使代理执行超出范围的操作,如访问私有仓库中的敏感文件。此外,还有“BioShocking”技术,通过让AI浏览器相信其不在现实世界中,从而迫使执行恶意命令,例如泄露凭证或安装恶意软件。

为什么AI代理如此容易受到SociaLLM工程的影响?首先,通用LLM的设计初衷是服从指令并取悦用户。通过人类反馈强化学习(RLHF)等微调技术,模型更加偏向于提供有帮助且顺从的响应,而天然缺乏对指令来源可信度的判断。其次,LLM缺乏传统系统中的权限分割机制。所有输入和输出都通过同一个通道流动,系统指令、敏感数据和不可信内容混杂在一起,攻击者可以轻松通过语言上的细微操纵来覆盖安全指令。最后,LLM无法从过往经验中学习,这意味着它们会反复执行相同的危险任务而不会触发警报,而人类社会工程攻击往往只有一次机会。

为应对这些威胁,文章建议对敏感操作保留“人在回路中”的监督,实施严格的信任边界,并采用AI防护栏来限制代理的权限和自主性。随着AI代理在企业中的应用日益广泛,防范SociaLLM工程将成为网络安全领域的重要课题。