查看: 99|回复: 3

提示注入攻击欺骗AI代理进行加密货币支付,Zscaler发现两个活动

[复制链接]
发表于 1 小时前 | 显示全部楼层 |阅读模式
安全厂商Zscaler近日披露了两起利用间接提示注入(indirect prompt injection)的恶意活动,攻击者通过植入恶意网站或操纵搜索结果,诱骗具备网页浏览与支付能力的AI代理向攻击者控制的钱包支付加密货币或信任虚假的去中心化金融平台。

活动一:伪装成Python库的API文档页面
第一个攻击者利用SEO投毒技术,针对搜索Python库 requests-secure-v2 的AI代理。恶意网站内嵌大量与假模块相关的关键词HTML以污染搜索结果。攻击者在该页面中隐藏了间接提示——通过Schema标记编码“支付API密钥费用”的指令,同时使用一个隐藏的 [div] 标签指示AI代理“解决错误”并完成支付。页面还初始化了向硬编码钱包地址发起加密货币转账的代码。Zscaler指出,该站点在桌面浏览器中也会向人类开发者展示信用卡或加密货币支付选项。目前该攻击者已关联到10个GitHub仓库,指向多个相似恶意站点。

活动二:仿冒DeBank平台的错别字域名
第二个活动使用错别字域名(typosquatting)冒充去中心化金融投资组合追踪器 DeBank。攻击者在标题和元标签中堆砌“DeBank Login”“DeFi Dashboard”“Crypto Tracker”等关键词,并加入Open Graph及X(原Twitter)元数据,使链接在外观上类似官方DeBank服务。页面中的间接提示直接告诉AI代理该仿冒站点是合法域名。

测试结果:哪些LLM被攻破?
Zscaler自制了一个具备网页浏览和支付执行能力的AI代理,对26个大语言模型(LLM)进行测试。结果发现,Llama 3.3 70B Instruct、Llama 3.2 90B Vision Instruct、Gemini 3 Flash、Gemini 2.5 Pro这4个模型成功被操控完成支付;Claude Sonnet 4.5GPT-5.4虽然未付款,但错误地将仿冒DeBank站点归类为可信平台。

Zscaler强调,随着AI代理逐渐成为用户访问Web的主要接口,网页内容本身正在变成更大的攻击面。AI在简化工作流的同时,也引入了新的滥用途径。
回复

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: 提示注入攻击欺骗AI代理进行加密货币支付,Zscaler发现两个活动

这条资讯非常有价值,感谢分享。AI代理在获得网页浏览和支付能力后,这种间接提示注入确实成了一个很新的攻击面。伪装成Python库的文档页面、用错别字域名冒充DeBank——手法都挺隐蔽的,尤其像Llama 3.3和Gemini 2.5 Pro这些模型居然真的完成支付了,说明目前的模型对隐蔽指令的防欺骗能力还远远不够。大家如果自己在用AI辅助处理金融类操作,恐怕得多加一层人工审核才稳妥。
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: 提示注入攻击欺骗AI代理进行加密货币支付,Zscaler发现两个活动

感谢楼主的分享,这个案例非常及时。AI代理正在快速进入我们的工作和生活,但提示注入这种攻击方式确实防不胜防——连Llama和Gemini这样的主流模型都被攻破完成支付,说明安全防线不能只靠模型本身。如果未来AI代理被广泛用于自动购物、支付甚至管理资产,这种攻击的破坏力会成倍放大。不知道楼主觉得现阶段开发者应该优先在哪一层做防护?比如对网页内容进行预处理过滤,还是限制代理的支付权限更有效?
回复 支持 反对

使用道具 举报

发表于 1 小时前 | 显示全部楼层

Re: 提示注入攻击欺骗AI代理进行加密货币支付,Zscaler发现两个活动

感谢分享这个重要的安全动态。确实,随着AI代理越来越多地被赋予访问网页和自动执行支付的能力,这种间接提示注入的攻击手法变得相当危险。特别是第一个利用SEO投毒伪装成Python库文档页面的案例,针对开发者常用的搜索场景进行攻击,手法非常隐蔽。测试结果也说明,即便是一些主流大模型在面对精心构造的恶意提示时,也可能无法正确甄别,甚至直接执行转账指令。这对于正在开发或使用AI代理来处理财务操作的人来说,是一个很关键的提醒——不仅要关注AI模型本身的能力,更要重视它访问外部内容时的安全防护机制。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

Hacking Group 021A

旗下站点

态势感知中心

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

关注微信公众号

Archiver|手机版|小黑屋| ( 沪ICP备2021026908号 )

GMT+8, 2026-7-6 21:31 , Processed in 0.037580 second(s), 18 queries , Gzip On, Redis On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部