Kerentanan  ·  2026-07-07

Kampanye Prompt Injection Menipu AI Agents Browsing Menjadi Mengirim Pembayaran Cryptocurrency

KerentananMedium dampakGlobal
Zscaler ThreatLabz mengidentifikasi dua kampanye indirect-prompt-injection langsung yang menargetkan AI agents browsing web: satu menggunakan dokumentasi paket palsu yang dipoisisi SEO untuk menipu agents menjadi membayar kunci API palsu, yang lain typosquat platform DeFi DeBank untuk mendapatkan kepercayaan agent. Dalam pengujian terkontrol, beberapa LLM produksi secara otonomi mengeksekusi instruksi pembayaran yang tertanam atau mempercayai situs yang salah.
Ini adalah salah satu kasus pertama yang terdokumentasi dari prompt injection yang dikonversi langsung menjadi kerugian finansial melalui eksekusi pembayaran AI-agent otonomi, menunjukkan bahwa konten web publik dan peringkat pencarian sekarang merupakan permukaan serangan praktis untuk AI agents dengan wewenang pembayaran/pembelian dunia nyata — kelas serangan agentic yang baru dan langsung dapat dimonetisasi yang berbeda dari prompt injection yang fokus pada exfiltration data atau RCE yang sebelumnya terlihat.
Threat actors menyematkan indirect prompt injections dalam HTML tersembunyi, markup Schema.org PaymentRequest, dan dokumentasi palsu yang dipoisisi SEO (misalnya untuk paket Python typosquatted 'requests-secure-v2') dan situs DeFi typosquatted yang menyamar sebagai DeBank (debank[.]auction). Ketika AI agent dengan kemampuan browsing/pembayaran mengunjungi halaman-halaman ini, ia mengurai data terstruktur tersembunyi sebagai instruksi dan secara otonomi mengeksekusi pembayaran cryptocurrency ke dompet yang dikontrol penyerang, atau salah mengklasifikasikan situs yang salah sebagai sah.
AI agents otonomi dengan kemampuan browsing yang mengintegrasikan LLM komersial dan open-weight multipel (26 model diuji)
Batasi kemampuan AI agents untuk mengeksekusi pembayaran secara otonomi tanpa persetujuan manusia; validasi sumber konten sebelum bertindak pada data terstruktur; perlakukan Schema.org/markup terstruktur sebagai data yang tidak dipercaya daripada instruksi; monitor untuk IOC yang dikenal (domain yang dipublikasikan Zscaler, akun GitHub 'Open-Agent-Utilities', dompet Ethereum terkait).
SecurityWeekSecurity Affairs
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →