脆弱性  ·  2026-07-07

プロンプト インジェクション キャンペーンが ブラウジング AI エージェントをトリックして仮想通貨支払いを送信させる

脆弱性Medium 影響度Global
Zscaler ThreatLabz は、Web ブラウジング AI エージェントをターゲットにする 2 つのライブ間接的プロンプト インジェクション キャンペーンを特定しました。1 つは SEO 中毒された偽パッケージ ドキュメンテーションを使用してエージェントを不正な API キーの支払いにトリックし、もう 1 つは DeBank DeFi プラットフォームをタイポスクワットしてエージェント信頼を得ます。制御されたテストでは、いくつかの本番 LLM は埋め込まれた支払い指示を自律的に実行したり、詐欺的サイトを信頼したりしました。
これは、自律型 AI エージェント支払い実行を通じた直接的な経済的損失へのプロンプト インジェクション変換の最初の文書化されたケースの 1 つであり、公開 Web コンテンツと検索ランキングが現在 AI エージェントの実用的な攻撃面であり、実世界の購買/支払い権限を持つことを実証しています — 以前に見られたデータ流出または RCE 焦点プロンプト インジェクションとは異なる新しい直接的に有利な エージェント攻撃クラス。
脅威アクターは隠された HTML、Schema.org PaymentRequest マークアップ、および SEO 中毒された偽ドキュメンテーション (例えば タイポスクワットされた Python パッケージ 'requests-secure-v2') と DeBank (debank[.]auction) を装うタイポスクワットされた DeFi サイトに間接的プロンプト インジェクションを埋め込みます。ブラウジング/支払い機能を持つ AI エージェントがこれらのページを訪問すると、隠された構造化データを指示として解析し、攻撃者制御ウォレットへの仮想通貨支払いを自律的に実行するか、詐欺的サイトを正当と誤分類します。
複数の商用およびオープン重みLLM を統合するブラウジング可能自律型 AI エージェント (テストされた 26 モデル)
AI エージェントの支払い自動実行能力を制限し、人間の承認なしで実行します。構造化データに対応する前にコンテンツソースを検証してください。Schema.org/構造化マークアップを指示ではなく信頼できないデータとして扱ってください。既知の IOC (Zscaler 公開ドメイン、GitHub アカウント 'Open-Agent-Utilities'、関連する Ethereum ウォレット) を監視してください。
SecurityWeekSecurity Affairs
ライブフィードで見る AIセキュリティとガバナンスの関連情報をさらに見る — 毎朝更新。
フィードを開く →