AI智能体可以为你购物、编程,甚至在消息应用中代你聊天。但要小心:攻击者可以利用恶意提示来诱骗AI智能体生成带有数据泄露风险的URL,而链接预览功能可能会自动抓取这些链接。
消息应用通常使用链接预览功能,该功能允许应用查询消息中的链接,提取标题、描述和缩略图,以替代显示纯URL。AI安全公司PromptArmor发现,链接预览可以将AI智能体生成的、由攻击者控制的URL转变为零点击数据窃取通道,使敏感信息在无需任何用户交互的情况下被泄露。
正如PromptArmor在报告中指出的,通过恶意链接进行的间接提示注入并不罕见,但通常需要受害者在AI系统被诱骗将敏感用户数据附加到攻击者控制的URL后点击链接。当同样的技术被用于在Slack或Telegram等消息平台内运行的AI智能体时(这些平台默认启用或在特定配置下启用链接预览),问题就变得严重得多。
"在具有链接预览功能的智能体系统中,数据窃取可以在AI智能体响应用户后立即发生,无需用户点击恶意链接,"PromptArmor解释说。
没有链接预览的情况下,AI智能体或人类操作员必须跟随链接,在AI系统被诱骗将敏感用户数据附加到攻击者控制的URL后触发网络请求。如前所述,这种类型的提示注入攻击可以通过诱骗AI智能体将信息附加到URL上来提取各种类型的敏感数据,如API密钥等。
由于链接预览会从目标网站提取元数据,整个攻击链可以在零交互的情况下完成:一旦AI智能体被诱骗生成包含敏感数据的URL,预览系统就会自动获取它。唯一的区别是数据泄露URL的发现位置——在这种情况下是在攻击者的请求日志中。
毫不意外的是,当在Telegram中使用默认配置时,被称为"氛围编码智能体AI灾难平台"的OpenClaw容易受到这种攻击。PromptArmor指出,可以通过更改OpenClaw配置文件中的设置来修复此问题,但从PromptArmor提供的数据来看,OpenClaw似乎不是最大的问题。
该公司创建了一个网站,用户可以测试集成到消息应用中的AI智能体,查看它们是否会触发不安全的链接预览。根据这些测试的报告结果,Microsoft Teams占预览抓取的最大份额,在记录的案例中,它与微软自己的Copilot Studio配对使用。其他报告的风险组合包括Discord配OpenClaw、Slack配Cursor Slackbot、Discord配BoltBot、Snapchat配SnapAI,以及Telegram配OpenClaw。
报告显示较安全的设置包括Slack中的Claude应用、通过WhatsApp运行的OpenClaw,以及"在Docker中通过Signal部署的OpenClaw"(如果你真的想让事情变得复杂的话)。
虽然这是AI智能体处理链接预览过程中的问题,但PromptArmor指出,主要还是要靠消息应用来解决这个问题。
"这需要通信应用向开发者开放链接预览设置选项,智能体开发者则需要利用提供的设置选项,"这家安全公司解释说。"我们希望看到通信应用考虑在聊天/频道特定基础上支持自定义链接预览配置,以创建大语言模型安全频道。"
在此之前,请将此视为另一个警告:不要在机密性重要的环境中添加AI智能体。
Q&A
Q1:什么是通过链接预览的数据泄露攻击?
A:这是一种攻击者利用恶意提示诱骗AI智能体生成包含敏感数据的URL,然后通过消息应用的链接预览功能自动抓取这些数据的攻击方式。与传统攻击不同,这种攻击无需用户点击链接就能实现数据泄露。
Q2:哪些平台和AI智能体组合存在安全风险?
A:根据PromptArmor的测试结果,风险较高的组合包括Microsoft Teams配Copilot Studio、Discord配OpenClaw、Slack配Cursor Slackbot、Discord配BoltBot、Snapchat配SnapAI和Telegram配OpenClaw等。
Q3:如何防护这种攻击?
A:目前主要依靠消息应用提供商解决,建议通信应用向开发者开放链接预览设置选项,并支持聊天/频道特定的自定义链接预览配置。在解决方案出现之前,应避免在机密环境中使用AI智能体。
热门跟贴