事件经过
Akamai发布了针对代理AI系统的现实的分步攻击链的详细技术演练(2026年7月17日):侦察以映射工具表面和业务逻辑,随后是精准提示注入,该注入伪造虚假内部状态以操纵代理执行未授权操作(免费航班预订)。
影响分析
这将提示注入从抽象风险转变为针对生产式代理工作流的具体可重现的业务逻辑绕过攻击——表明信任自身推理状态(而不是独立验证的后端检查)的代理可被操纵以授权真实世界交易,直接相关于任何部署用于商务、金融或批准的工具调用AI代理的企业。
攻击途径
基于先前的侦察技术来映射AI代理的工具表面和提取其系统提示/决策规则,Akamai研究人员演示了完整的杀死链:攻击者使用侦察学习代理在预订航班前检查的确切前提条件(付款批准),然后注入伪造的工具输出/上下文以说服代理前提条件已满足,导致其跳过付款并发出免费预订。
受影响系统
已部署的具有基于顺序工具的工作流的代理AI应用(针对虚构航空公司预订代理"Varda"演示)
缓解措施
确保后端工具独立验证状态/前提条件(例如付款确认)而不是信任代理自身的内部推理或可欺骗的工具输出;在代理工具调用管道前面部署提示注入检测(例如AI防火墙)。