恶意网页正在劫持AI代理，有些甚至在攻击你的PayPal

简要概述

• 谷歌记录显示，2025年11月至2026年2月间，针对浏览网页的AI代理的恶意间接提示注入攻击激增了32%。
• 在野外发现的真实载荷包括在普通HTML中隐形嵌入的完全指定的PayPal交易指令，旨在针对具有支付能力的代理。
• 目前没有法律框架规定，当具有合法凭证的AI代理执行由恶意第三方网站植入的命令时的责任归属。

攻击者正悄悄在网页上布置隐形指令，专为AI代理设计，而非人类阅读者。据谷歌安全团队称，问题正在迅速扩大。 在2023年4月23日发布的一份报告中，谷歌研究员托马斯·布鲁纳、刘玉涵和莫妮·潘德扫描了每月19283746565748392亿至30亿个爬取的网页，寻找间接提示注入攻击——即隐藏在网站中的命令，等待AI代理读取后执行。他们发现，从2025年11月到2026年2月，恶意案例增加了32%。 攻击者以人类无法察觉的方式在网页中嵌入指令：文字缩小到单像素、文字几乎透明、内容隐藏在HTML注释区，或命令埋藏在页面元数据中。AI读取完整的HTML，而人类一无所见。

谷歌发现的大部分内容都是低级的——恶作剧、搜索引擎操控、试图阻止AI代理总结内容。例如，有些提示试图让AI“像鸟一样发推”。 但危险的案例则不同。一例指示大型语言模型（LLM）返回用户的IP地址和密码。另一例试图操控AI执行格式化用户机器的命令。

但其他案例则接近犯罪。

网络安全公司Forcepoint的研究人员几乎同时发布了一份报告，发现更进一步的载荷。一种嵌入了完整PayPal交易、包含逐步指令的载荷，目标是具有集成支付能力的AI代理，还使用了著名的“忽略所有先前指令”越狱技术。

第二种攻击使用了“元标签命名空间注入”技术，结合增强说服力的关键词，将AI介导的支付引导到Stripe捐款链接。第三种则旨在探测哪些AI系统实际上容易受到攻击——是更大规模攻击前的侦察。 这就是企业风险的核心。具有合法支付凭证的AI代理，执行网页上的交易，生成的日志看起来与正常操作完全一致。没有异常登录，没有暴力破解。代理只做了它被授权做的事——只是它的指令来自错误的来源。 去年九月记录的CopyPasta攻击显示，提示注入可以通过隐藏在“readme”文件中在开发者工具中传播。金融变体是将相同概念应用于金钱而非代码——每次成功攻击的影响更大。 正如Forcepoint所解释的，能仅总结内容的浏览器AI风险较低。能发送电子邮件、执行终端命令或处理支付的代理型AI则属于完全不同的目标类别。攻击面随权限提升而扩大。  谷歌和Forcepoint都未发现复杂、协调行动的证据。Forcepoint确实指出，多个域名共享注入模板“暗示有组织的工具而非孤立的试验”——意味着有人在为此建立基础设施，尽管尚未完全部署。

但谷歌更直截了当：研究团队表示，预计未来间接提示注入攻击的规模和复杂性都将增长。Forcepoint的研究人员警告说，提前应对这一威胁的窗口正迅速关闭。 责任问题尚无人回答。当具有公司批准凭证的AI代理读取恶意网页并发起欺诈性PayPal转账时，谁应负责？部署该代理的企业？遵循注入指令的模型提供商？无论是否知情，托管载荷的网站所有者？目前没有法律框架涵盖这一点。即使场景不再是理论上的——因为谷歌今年2月在野外发现了载荷——这仍是一个灰色地带。 开放全球应用安全项目将提示注入列为LLM01:2025——AI应用中最关键的漏洞类别。FBI在2025年追踪到近$900 百万美元的AI相关诈骗损失，这是首次单独统计该类别。谷歌的发现表明，更具针对性、面向代理的金融攻击才刚刚开始。 2025年11月至2026年2月的32%增长仅涵盖静态公共网页。社交媒体、登录墙内容和动态网站未纳入范围。整个网络的实际感染率可能更高。