事件经过
Zscaler ThreatLabz 确定了两个针对网络浏览 AI 代理的实时间接提示注入活动:一个使用 SEO 投毒的虚假包文档欺骗代理为虚假 API 密钥付费,另一个对 DeBank DeFi 平台进行拼写错误以获得代理信任。在对照测试中,多个生产 LLM 自主执行了嵌入的支付指令或信任了虚假网站。
影响分析
这是首次记录的通过自主 AI 代理支付执行将提示注入直接转换为财务损失的案例,证明公共网络内容和搜索排名现在是具有真实世界购买/支付权限的 AI 代理的实际攻击面——与以前看到的数据泄露或专注于 RCE 的提示注入相区别的新型且直接可货币化的代理攻击类别。
攻击途径
威胁行为人在隐藏的 HTML、Schema.org PaymentRequest 标记和 SEO 投毒的虚假文档(例如拼写错误的 Python 包 'requests-secure-v2')以及拼写错误的 DeFi 网站(冒充 DeBank (debank[.]auction))中嵌入间接提示注入。当具有浏览/支付能力的 AI 代理访问这些页面时,它将隐藏的结构化数据解析为指令并自主执行加密货币支付到攻击者控制的钱包,或将虚假网站误分类为合法。
受影响系统
具有浏览能力的自主 AI 代理,集成多个商业和开放权重 LLM(测试了 26 个模型)
缓解措施
限制 AI 代理在没有人类批准的情况下自主执行支付的能力;在采取行动前验证内容来源;将 Schema.org/结构化标记视为不受信任的数据而不是指令;监控已知 IOC(Zscaler 发布的域、GitHub 账户 'Open-Agent-Utilities'、关联的以太坊钱包)。