技术说明
Brave安全研究于2026年6月8日发布了实证演示,表明间接提示注入——恶意指令嵌入在第三方内容中以劫持AI代理任务——对云托管AI(Mozilla Tabstack)和完全本地设备AI(Cotypist for macOS)同样有效。在Tabstack案例中,网页上的隐形文本导致代理放弃摘要任务、导航至攻击者控制的表单、用用户对话历史填充表单并提交。在Cotypist案例中,本地文档中的指令影响自动完成建议并暴露凭证。Mozilla在负责任披露后修补了Tabstack;Cotypist需要用户接受建议但仍受指令操纵影响。根本原因是架构性的:两个系统都在单一扁平上下文窗口中组合受信任的开发人员提示和不受信任的外部数据,无可靠的边界强制实施。
攻击途径
攻击者在AI工具可能摄入的任何内容中嵌入恶意指令:网页(通过白字体或零宽度字符隐藏)、文档、电子邮件内容、工具结果或检索的上下文。无需直接访问AI系统——有效载荷通过受害者的正常工作流到达。
受影响系统
任何在与系统和用户指令相同的上下文窗口中摄入不受信任外部内容(网页、文档、电子邮件、搜索结果)的AI代理或AI辅助工具。对Mozilla Tabstack(云端)和Cotypist(本地macOS)的演示。同一团队之前针对Opera Neon和Perplexity Comet进行过演示。
缓解措施
架构缓解:严格的上下文窗口分割,分离指令通道和数据通道;源溯标记;在任何外部写入(表单提交、API调用、文件写入)前要求明确的用户确认;将所有检索内容视为数据,永不作为指令。运行时:对从外部源摄入的内容应用提示注入过滤器;记录和检查代理决策跟踪以查找意外的指令来源。