洗腦AI攞密碼有如諜戰片?         六大代理中晒伏!
洗腦AI攞密碼有如諜戰片? 六大代理中晒伏!

新型提示注入(prompt injection)攻擊「BioShocking」近日震驚資安界。以色列瀏覽器安全公司 LayerX 嘅研究人員設計咗一套概念驗證(proof-of-concept)測試,成功呃到市面六款主流代理式 AI 瀏覽器同助手,喺毫不知情下將用戶嘅登入憑證雙手奉上,六款產品全軍覆沒,冇一款過關。值得留意嘅係,LayerX 本身啱啱先喺七月二日被雲端保安巨頭 Akamai 以約二億零五百萬美元(約十六億港元)完成收購,呢份研究可謂佢加入 Akamai 前嘅一記警號。

 

攻擊手法一針見血。研究員 Roy Paz 團隊整咗一個以經典第一身射擊遊戲《生化奇兵》(BioShock)為主題、名為「Rapture Games」嘅解謎網頁,刻意獎勵錯誤答案,例如訓練 AI 接受「2 加 2 等於 5」,話「錯就係贏」。當 AI 代理學識咗喺呢個遊戲情境入面錯就係啱之後,就唔再受安全規則約束。去到遊戲最後一關,網頁指示代理去到受害者嘅 GitHub 儲存庫,複製並外洩入面嘅 SSH 登入密碼,六款代理竟然乖乖照做,冇一款察覺到呢個舉動已經違反自己嘅防護機制,做完仲當係「贏咗遊戲」咁向攻擊者回報。

 

個名取自《生化奇兵》絕非偶然。遊戲主角一聽到觸發語「Would you kindly?(勞煩你)」就會盲目服從,AI 代理都係一樣佢完全信任所處嘅情境,你一改情境,佢嘅行為就跟住變。問題根源在於間接提示注入:對 AI 嚟講,網頁內容同用戶自己嘅指令根本係同一串文字,佢分唔到邊句係真正命令、邊句係惡意植入。

 

六款受測產品包括 OpenAI 嘅 ChatGPT Atlas、Perplexity 嘅 Comet、Fellou、Genspark Browser、Sigma Browser,以及 Anthropic 嘅 Claude Chrome 外掛程式。回應卻參差不齊:LayerX 由舊年十月至今年一月陸續通報各廠,OpenAI 係唯一有效修補嘅一家,喺 Atlas 加入咗讀取已登入帳戶前必須經用戶確認嘅機制;Anthropic 雖然嘗試補救,但 LayerX 指其補丁守唔住;Perplexity 就直接結案冇修補;Fellou、Genspark、Sigma 三家索性冇回應。換言之,除咗 Atlas,大部分受測瀏覽器到今日可能仍然會中招。事實上 LayerX 舊年十月就試過用「CometJacking」手法,單靠一條精心設計嘅連結就騎劫 Comet 偷取電郵同行事曆資料,今次可謂舊病復發。

 

LayerX 強調今次只係喺受控環境用一個純文字檔測試,並非針對真實用戶嘅攻擊行動,但警告喺實戰入面,同一招可以指向代理接觸到嘅任何資源,包括開住嘅分頁、已登入帳戶、企業內部工具甚至密碼管理器。研究團隊促請各廠加入明確嘅用戶確認機制、加強情境檢查同限制代理連線權限;用戶方面就應該善用平台設定,限制 AI 瀏覽器存取敏感服務嘅權限。

發佈時間: 2026年07月08日 15:40
關於我們 | 加入我們 | 隱私權聲明 | 免責聲明 | 錯誤回報/意見提供
電郵: hongkongmatters.info@gmail.com

Copyright © 2022 香港元宇宙. All rights reserved.