恶意网页正在劫持 AI Agents，其中一些正瞄准你的 PayPal

📄完整原文· 由 trafilatura 自动抓取Gemini 翻譯5069 字

简讯 - Google 记录显示，2025 年 11 月至 2026 年 2 月期间，针对浏览网页的 AI agents 的恶意间接提示词注入（indirect prompt injection）攻击激增了 32%。 - 在野外发现的真实载荷包括隐藏在普通 HTML 中、针对具有支付功能的 AI agents 的完整 PayPal 交易指令。 - 目前尚无任何法律框架能界定当拥有合法凭证的 AI agent 执行了由恶意第三方网站植入的指令时，责任归属问题。攻击者正在悄悄地在网页中设置陷阱，植入专门针对 AI agents 而非人类读者的隐形指令。据 Google 安全团队称，这一问题正迅速恶化。在 4 月 23 日发布的一份报告中，Google 研究人员 Thomas Brunner、Yu-Han Liu 和 Moni Pande 每月扫描 20 亿至 30 亿个被抓取的网页，以寻找间接提示词注入攻击——即嵌入在网站中，等待 AI agent 读取并执行的隐藏指令。他们发现，2025 年 11 月至 2026 年 2 月期间，此类恶意案例激增了 32%。攻击者以人类无法察觉的方式在网页中嵌入指令：将文字缩小至一个像素、将文字调至近乎透明、将内容隐藏在 HTML 注释部分，或将命令埋入页面元数据中。AI 会读取完整的 HTML，而人类则一无所知。 Google 发现的大多数案例属于低级攻击——如恶作剧、搜索引擎操纵，以及试图阻止 AI agents 总结内容。例如，有些提示词试图让 AI “像鸟一样发推文”。但危险的案例则完全不同。其中一个案例指示 LLM 返回用户的 IP 地址及其密码。另一个案例试图操纵 AI 执行格式化 AI 用户机器的命令。还有一些案例已处于犯罪边缘。网络安全公司 Forcepoint 的研究人员几乎同时发布了一份报告，发现了更进一步的载荷。其中一个载荷嵌入了完整的 PayPal 交易指令，并附带分步说明，旨在针对具有集成支付功能的 AI agents，同时使用了著名的“忽略之前的所有指令”（ignore all previous instructions）越狱技术。第二次攻击使用了一种称为“元标签命名空间注入”（meta tag namespace injection）的技术，结合劝导放大关键词，将 AI 中介支付引导至一个 Stripe 捐赠链接。第三次攻击似乎旨在探测哪些 AI 系统真正存在漏洞——这是在更大规模攻击之前的侦察行为。这就是企业风险的核心所在。一个拥有合法支付凭证的 AI agent，在执行从网站上读取的交易时，产生的日志看起来与正常操作完全一致。没有异常登录，没有暴力破解。该 agent 只是执行了其被授权的操作——它只是从错误的来源接收了指令。去年 9 月记录的 CopyPasta 攻击展示了提示词注入如何通过隐藏在“readme”文件中在开发工具中传播。金融变体是同样的概念，只是应用于金钱而非代码，且每次成功攻击的影响力要大得多。正如 Forcepoint 所解释的那样，只能总结内容的浏览器 AI 风险较低。而能够发送电子邮件、执行终端命令或处理支付的 agentic AI 则完全属于另一类目标。攻击面随权限的增加而扩大。 Google 和 Forcepoint 均未发现复杂、协调一致的攻击活动证据。Forcepoint 确实指出，跨多个域名的共享注入模板“暗示了有组织的工具化，而非孤立的实验”——这意味着有人正在为此构建基础设施，即使他们尚未完全部署。但 Google 的表态更为直接：研究团队表示，预计间接提示词注入攻击的规模和复杂程度在不久的将来都会增加。Forcepoint 的研究人员警告称，应对这一威胁的窗口期正在迅速关闭。责任归属问题是目前无人能回答的。当一个拥有公司批准凭证的 AI agent 读取了一个恶意网页并启动了一笔欺诈性的 PayPal 转账时，谁该负责？是部署该 agent 的企业？是其系统遵循了注入指令的模型提供商？还是托管了该载荷的网站所有者（无论是否知情）？目前没有任何法律框架涵盖这一点。这是一个灰色地带，尽管该场景已不再是理论上的，因为 Google 在今年 2 月已在野外发现了这些载荷。 Open Worldwide Application Security Project 将提示词注入列为 LLM01:2025——这是 AI 应用中最关键的漏洞类别。FBI 在 2025 年追踪到近 9 亿美元的 AI 相关诈骗损失，这是其首次将该类别单独记录。Google 的发现表明，针对性更

数据状态✓ 已抓取全文阅读原文（Decrypt）

🔍历史类似事件· 关键词 + 标的比对2 则

2026-04-23

在 150 億美元的熱潮過後，超過 90% 的 Web3 遊戲因玩家未如期而至而失敗：Caladan

相似度 130%關鍵字 after/web

2026-04-20

Coinbase 开始推出以“传奇”员工为原型的 AI Agents

相似度 130%關鍵字 after/agents

💡 目前用关键词 + 标的比对（MVP）· 之后会升级为 embedding 语义搜寻

原始信息

ID：e03ceb1f02

来源：Decrypt

发布：2026-04-27 17:12:13

分类：一般 · 导出分类 neutral

标的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言