在野發現基於網頁的間接提示注入攻擊

間接提示注入（Indirect Prompt Injection, IDPI）是一種新興的網絡攻擊手法，攻擊者將惡意指令隱藏於看似正常的網頁內容中。當AI系統（如大型語言模型）在處理這些內容（例如進行網頁摘要、內容分析或翻譯）時，會無意中執行這些隱藏指令，從而導致非預期的行為。與直接提示注入不同，IDPI並不需要攻擊者直接與模型交互，而是利用AI系統在處理大量不可信網頁內容時的正常操作流程。

Palo Alto Networks Unit 42團隊在2025年12月報告了首個在野檢測到的IDPI攻擊案例。該攻擊的目標是繞過基於AI的廣告審核系統。攻擊者在一個偽裝成促銷軍事眼鏡的網頁中嵌入了隱藏提示，這些提示試圖誘使AI審核系統將欺詐廣告判定為合法內容。該網頁包含虛假的折扣信息和評論，點擊後會將用户重定向至釣魚網站。這一案例標誌着IDPI從理論驗證向實際武器化的重要轉變。

除了廣告審核繞過，Unit 42還發現了其他多種攻擊意圖，包括搜索引擎優化（SEO）操縱以推廣假冒知名博彩平台的釣魚網站、數據銷燬、拒絕服務、未經授權的交易、敏感信息泄露以及系統提示泄露。通過對大規模遙測數據的分析，研究人員識別出22種獨特的載荷工程技術，並據此提出了一個基於攻擊者意圖和載荷工程方法的分類體系。

攻擊者意圖被分為四個嚴重等級：低嚴重性包括產生無關輸出或防爬蟲行為；中嚴重性涉及操縱招聘或評論系統的決策；高嚴重性指直接牟利的詐騙和釣魚；關鍵嚴重性可能導致數據泄露、系統破壞或未經授權的交易。載荷工程技術則分為提示投遞方法和越獄方法兩類。投遞方法包括將隱藏指令嵌入網頁的零大小元素、CSS隱藏、HTML屬性混淆或運行時動態注入；越獄方法則使用不可見字符、多層編碼、載荷拆分或語義技巧（如多語言指令和語法注入）來繞過安全措施。

隨着LLM和AI代理越來越多地集成到瀏覽器、搜索引擎和自動化工具中，網頁本身成為了LLM提示的傳遞機制，極大地擴大了攻擊面。防禦者需要具備主動、大規模檢測IDPI的能力，區分良性提示與惡意指令，並識別攻擊者的意圖。Palo Alto Networks通過Advanced DNS Security、Advanced URL Filtering、Prisma AIRS和Prisma Browser等產品提供相關防護，同時Unit 42 AI安全評估可幫助組織安全使用AI。用户應保持警惕，避免在AI系統中處理可疑的網頁內容。