即時(shí)注入與傳統(tǒng)黑客攻擊有著根本的區(qū)別。這種攻擊依靠的不是惡意代碼，而是精心設(shè)計(jì)的語(yǔ)句。這種轉(zhuǎn)變凸顯了人工智能給網(wǎng)絡(luò)瀏覽器等廣泛使用的平臺(tái)帶來(lái)的獨(dú)特安全挑戰(zhàn)。

人工智能正日益融入日?？萍?，包括網(wǎng)絡(luò)瀏覽器。然而，Malwarebytes的最新研究令人擔(dān)憂，這種轉(zhuǎn)變可能會(huì)催生出一種新型攻擊，這種攻擊并非依賴于代碼，而是依賴于語(yǔ)言。

問(wèn)題的核心是一種名為“即時(shí)注入”的技術(shù)，這種方法可以誘騙大型語(yǔ)言模型執(zhí)行嵌入在原本無(wú)害內(nèi)容中的隱藏指令。Malwarebytes 的發(fā)現(xiàn)表明，隨著瀏覽器集成能夠與網(wǎng)站進(jìn)行更深入交互的 AI 助手，它們也可能更容易受到此類操縱。

LLM 的設(shè)計(jì)初衷是遵循用戶提示（無(wú)論是輸入的問(wèn)題、摘要請(qǐng)求還是命令）來(lái)執(zhí)行任務(wù)。問(wèn)題在于，這些模型并不總是能在內(nèi)部指令（例如開(kāi)發(fā)人員強(qiáng)制執(zhí)行的針對(duì)惡意行為的規(guī)則）與用戶或第三方內(nèi)容提供的外部輸入之間劃出清晰的界限。

這一弱點(diǎn)為攻擊者創(chuàng)造了可乘之機(jī)。即時(shí)注入依賴于語(yǔ)言欺騙：攻擊者并非利用軟件漏洞，而是將精心設(shè)計(jì)的命令嵌入文本或數(shù)據(jù)中。當(dāng)人工智能系統(tǒng)獲取這些文本（例如，來(lái)自網(wǎng)頁(yè)或 PDF 文件）時(shí)，它可能會(huì)將這些指令解釋為合法指令，并像用戶發(fā)出指令一樣執(zhí)行它們。

Malwarebytes 的研究表明，看似普通的網(wǎng)站或社交媒體評(píng)論可能會(huì)將這些提示偷偷帶入 AI 瀏覽器的命令流，從而可能導(dǎo)致未經(jīng)授權(quán)的操作。其中一種方法涉及隱形格式，例如將指令隱藏在白色背景上的白色文本中。人類不會(huì)注意到這種欺騙行為，但 AI 可能會(huì)注意到。

隨著瀏覽器從簡(jiǎn)單的人工智能助手進(jìn)化為研究人員所說(shuō)的“代理瀏覽器”，風(fēng)險(xiǎn)也隨之增大。人工智能瀏覽器僅僅增強(qiáng)了現(xiàn)有的功能：總結(jié)文章、回答問(wèn)題或簡(jiǎn)化搜索——這些任務(wù)仍然依賴于用戶的監(jiān)督。

相比之下，代理瀏覽器的設(shè)計(jì)初衷是實(shí)現(xiàn)自主性。它們無(wú)需等待手動(dòng)點(diǎn)擊，而是可以在線執(zhí)行多步驟操作，例如預(yù)訂航班、管理賬戶或購(gòu)物。在獲得適當(dāng)權(quán)限后，代理瀏覽器可以作為用戶的代理與網(wǎng)站交互，發(fā)送付款詳情或填寫敏感信息，而無(wú)需實(shí)時(shí)監(jiān)控。

其便利性顯而易見(jiàn)。用戶可能會(huì)要求代理瀏覽器查找下個(gè)月飛往巴黎的最便宜航班，并自動(dòng)預(yù)訂。但其安全隱患也同樣嚴(yán)峻：如果系統(tǒng)遇到惡意構(gòu)建的網(wǎng)站，它可能會(huì)無(wú)意中泄露支付憑證，或發(fā)起用戶原本不打算進(jìn)行的交易。

在另一項(xiàng)研究中，Brave 的人工智能助手 Leo 被用于探索這些風(fēng)險(xiǎn)。該公司報(bào)告稱，Perplexity 的實(shí)驗(yàn)性 Comet 瀏覽器在針對(duì)間接提示注入攻擊進(jìn)行測(cè)試時(shí)暴露出漏洞。在這些情況下，有害指令并非由用戶輸入，而是嵌入在瀏覽器處理過(guò)程中的外部?jī)?nèi)容中。

Brave 表示，這些漏洞凸顯了更廣泛的行業(yè)挑戰(zhàn)：確保代理系統(tǒng)能夠區(qū)分用戶發(fā)出的命令和瀏覽過(guò)程中遇到的背景材料。如果無(wú)法區(qū)分，攻擊者就可以使用文本內(nèi)容作為攻擊媒介。

Perplexity 曾兩次嘗試修補(bǔ) Comet 以抵御這些攻擊，但 Brave 表示這些修復(fù)仍未完全解決根本問(wèn)題。

研究人員認(rèn)為，更強(qiáng)大的過(guò)濾器和更嚴(yán)格的輸入通道隔離對(duì)于保護(hù)代理瀏覽器免受即時(shí)注入攻擊至關(guān)重要。在這些防護(hù)措施成熟之前，專家建議謹(jǐn)慎行事。

安全做法包括限制授予代理瀏覽器的權(quán)限、保持軟件更新以及在允許自動(dòng)交互之前檢查網(wǎng)站來(lái)源。多因素登錄等強(qiáng)身份驗(yàn)證方法可以減少憑證被盜的影響，而監(jiān)控活動(dòng)日志則有助于及早發(fā)現(xiàn)異常。安全分析師還建議，不要在未經(jīng)人工確認(rèn)的情況下委托高風(fēng)險(xiǎn)操作，例如大額金融交易。