漏洞  ·  2026-07-06

AI Agent Poisoning via SEO Poisoning and Hidden HTML Prompt Injection — Agents Tricked into Fraudulent Crypto Payments

漏洞High 影响Global
Zscaler ThreatLabz(约于2026年7月3日发布,在Threat-Modeling.com的7月4日漏洞情报报告中报道)披露了两个利用AI Agent无法区分人类可见内容和隐藏DOM内容的活跃活动:一个虚假的Python库(requests-secure-v2)文档页面指示Agent支付虚假许可费,以及一个仿冒的DeBank克隆(debank[.]auction)使用JSON-LD/Open Graph操纵使Agent将其视为权威来源。测试表明易受攻击程度取决于模型——某些模型完成了欺诈支付。
这是一个针对几乎所有Agent型AI的信任模型的已被证实的真实攻击路径(非理论性的):任何AI代码助手、研究Agent或浏览器自动化工具爬取开放网络,仅通过研究被投毒的主题就会暴露,无需恶意软件或凭证窃取——整个网络都成为攻击面。
攻击者构建SEO优化的虚假文档/DeFi网站,并在隐藏的DOM节点中嵌入间接提示注入有效载荷(CSS display:none/off-screen定位、JSON-LD结构化元数据、HTML注释、替代文本)。当AI Agent在进行合法研究或故障排除时爬取页面时,它会将隐藏的指令作为受信任的上下文吸收并执行——例如,通过Stripe或硬编码加密钱包地址支付虚假许可费,或将仿冒的DeFi网站视为权威来源(RAG投毒)。
AI代码助手、浏览器自动化Agent、研究Agent(与模型无关——已对GPT-5.4、Claude Sonnet 4.5类模型进行了演示)
在Agent吸收前剥离隐藏的DOM节点;对任何Agent启动的支付、凭证提交或不可逆操作强制执行人工批准门控;对Agent网络检索使用受信任的源允许列表和结构化元数据验证;根据OWASP LLM01对Agent进行间接提示注入的对抗性测试。
Threat-Modeling.com — AI Agent Poisoning via SEO and Hidden HTMLCybersecurityNews — Hackers Abuse SEO Poisoning and Hidden HTMLZscaler ThreatLabz research
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →