技术说明
Forcepoint高级安全研究员Mayur Sewani于2026年4月22日发布研究,识别出10个间接提示注入(IPI)攻击载荷,这些载荷针对AI代理,包含恶意指令,旨在实现金融欺诈、数据破坏、API密钥窃取和系统入侵。其中一个载荷试图强制具有shell访问权限的LLM驱动的编码助手或代理AI执行Unix命令,递归强制删除文件和目录。研究人员强调,集成到IDE、终端环境和开发工具中的AI助手面临的攻击面最大。
攻击途径
间接提示注入攻击将恶意指令嵌入到AI代理接收的外部内容(文档、网页、代码仓库)中。当代理处理这些内容时,注入的提示会覆盖合法的用户指令,导致代理执行未经授权的操作。披露的攻击载荷针对具有工具使用能力的代理工作流,特别是那些具有shell访问权限或文件系统权限的代理。
受影响系统
AI编码助手、开发工具、具有shell访问权限的代理AI、LLM驱动的终端集成,以及任何能够读取外部文档或网页内容并执行系统命令的AI代理。
缓解措施
在代理接收之前对所有外部内容实施严格的输入验证。将工具和数据访问权限限制在每个代理角色所需的最小范围内。对高风险操作(文件删除、系统命令、API密钥访问)强制执行人工参与审批。部署监控以检测异常代理行为,特别是权限提升或意外的工具调用。将代理执行环境与生产系统分离。