惡意網頁正在劫持 AI 代理，有些甚至在攻擊你的 PayPal

簡要說明

• Google 記錄到2025年11月至2026年2月之間，惡意間接提示注入攻擊增加了32%，針對瀏覽網頁的AI代理。
• 在野外發現的實際有效載荷包括完全指定的PayPal交易指令，隱形嵌入普通HTML中，針對具有支付能力的代理。
• 目前沒有法律框架能夠界定由惡意第三方網站植入指令並由具有合法憑證的AI代理執行時的責任。

攻擊者正悄悄在網頁上設置看不見的指令陷阱，專為AI代理設計，而非人類讀者。而根據Google安全團隊的說法，這個問題正在快速擴大。 在4月23日發布的一份報告中，Google的研究人員Thomas Brunner、Yu-Han Liu和Moni Pande每月掃描20億到30億個網頁，尋找間接提示注入攻擊——即在網站中隱藏的命令，等待AI代理讀取並執行。他們發現，從2025年11月到2026年2月，惡意案例增加了32%。 攻擊者將指令嵌入網頁中，方式對人類來說是看不見的：文字縮小到單像素、文字幾乎透明、內容藏在HTML註解區域，或命令埋藏在頁面元數據中。AI會讀取完整的HTML，而人類則看不到任何異常。

Google大多發現的是低階的惡作劇——例如操縱搜尋引擎、阻止AI代理總結內容。例如，有些提示試圖讓AI“像鳥一樣推文”。 但危險的案例則是另一回事。一個案例指示大型語言模型（LLM）返回用戶的IP地址和密碼。另一個案例試圖操縱AI執行格式化用戶機器的命令。

但其他案例則幾乎是犯罪邊緣。

網路安全公司Forcepoint的研究人員幾乎同時發布了一份報告，發現更進一步的有效載荷。一個嵌入了完整PayPal交易的指令，包含逐步操作指南，針對具有支付功能的AI代理，還使用了著名的“忽略所有先前指令”破解技術。

第二個攻擊使用了一種稱為“元標籤命名空間注入”的技術，結合一個說服放大器關鍵詞，將AI媒介的支付導向Stripe捐款鏈接。第三個則旨在探測哪些AI系統實際上是脆弱的——在更大規模攻擊前的偵察行動。 這是企業風險的核心。一個具有合法支付憑證的AI代理，執行從網站讀取的交易，產生的日誌看起來與正常操作完全一致。沒有異常登錄，也沒有暴力破解。代理完全按照授權行事——只是它接收指令的來源錯誤。 去年九月記錄的CopyPasta攻擊展示了提示注入如何通過隱藏在“readme”文件中在開發者工具中傳播。金融變體則是將相同概念應用於金錢，而非程式碼——且每次成功攻擊的影響更大。 正如Forcepoint所解釋，僅能總結內容的瀏覽器AI風險較低。能發送電子郵件、執行終端命令或處理支付的代理型AI則屬於完全不同的目標範疇。攻擊面隨著權限提升而擴大。  Google和Forcepoint都未找到證據顯示有複雜的協調行動。Forcepoint指出，多個域名之間共享的注入模板“暗示有組織的工具集，而非孤立的實驗”——意味著有人在建立相關基礎設施，即使尚未完全部署。

但Google則更直白：研究團隊表示，預計未來間接提示注入攻擊的規模和複雜度都將增加。Forcepoint的研究人員警告，提前應對這一威脅的窗口正迅速縮小。 責任問題尚未有人解答。當具有公司批准憑證的AI代理讀取惡意網頁並啟動欺詐性PayPal轉帳時，誰應負責？是部署該代理的企業？是系統遵循植入指令的模型提供商？還是無論是否知情都托管該有效載荷的網站所有者？目前沒有法律框架涵蓋這種情況。這是一個灰色地帶，即使場景不再是理論上的，因為Google今年2月在野外發現了這些有效載荷。 Open Worldwide Application Security Project將提示注入列為LLM01:2025——AI應用中最關鍵的漏洞類別。FBI在2025年追蹤到近$900 百萬美元的AI相關詐騙損失，這是首次單獨記錄該類別。Google的發現顯示，針對性更強、專為代理設計的金融攻擊才剛剛開始。 2025年11月至2026年2月之間測得的32%增幅僅涵蓋靜態公共網頁。社交媒體、登入限制內容和動態網站未包含在範圍內。整個網絡的實際感染率可能更高。