来自特拉维夫大学、Technion 和 Intuit 的研究人员提出了一种名为对抗性幻觉蹲点的网络攻击技术,利用 AI 生成的幻觉来破坏 AI 代理。该攻击通过预测 AI 模型可能生成的不存在的资源名称,注册这些名称,并嵌入有害代码,从而欺骗 AI 系统相信虚假软件仓库或工具中包含恶意指令。当 AI 助手获得与计算机交互的能力——访问文件、搜索网络、编写代码和运行命令时,安全漏洞便会出现,代理在处理未验证信息时形成安全隐患。
研究人员演示针对 AI 幻觉的攻击机制
题为《提防代理僵尸网络:通过通用和可转移的对抗性幻觉蹲点实现可扩展的非定向提示软件攻击》的论文详细描述了该攻击如何利用 AI 模型生成虚假链接到软件仓库和其他在线资源。研究人员指出,代理型大规模语言模型应用的日益普及带来了提示软件的威胁。该攻击方法包括预测 AI 模型可能创建的虚假资源,注册这些名称,并添加恶意指令,供 AI 代理后续视为合法内容。
该技术类似于 typosquatting,即攻击者注册类似合法网站或软件包的域名。幻觉蹲点针对 AI 模型的错误,而非人为打字错误。研究人员表示,持续的研究已展示出多种针对 ChatGPT、Google 助理、Copilot 及其他应用的提示软件攻击变体,造成财务、隐私和安全影响。
测试显示 AI 编码助手的幻觉率很高
研究团队发现,在仓库克隆场景中,AI 生成资源的幻觉率高达 85%,在技能安装测试中达到 100%。团队对 Cursor、GitHub Copilot、Gemini CLI 和 OpenClaw 等流行 AI 编码助手和代理进行了评估。测试显示,该方法在受控实验中可能导致远程代码执行。
攻击促使 AI 支持的僵尸网络构建
研究人员警告,该技术可能使攻击者构建 AI 支持的僵尸网络成为可能。僵尸网络指由被感染的计算机或设备组成的网络,由攻击者远程控制,常用于拒绝服务攻击、加密货币挖矿、恶意软件传播和勒索软件行动。当代理在未确认信息来源的情况下采取行动时,安全漏洞便会出现。
相关 AI 安全研究文件揭示提示注入攻击
今年四月,谷歌研究人员详细介绍了旨在劫持 AI 代理的恶意网站,包括试图窃取密码、删除文件和操控支付的间接提示注入攻击。另一项关于 CopyPasta 攻击的研究显示,开发者文件中的隐藏提示可以操控 AI 编码助手传播恶意代码。六月份,一名 OpenClaw 用户报告遭遇超过 6,000 次攻击尝试,试图诱骗 AI 代理泄露敏感信息。
常见问题
什么是对抗性幻觉蹲点,它是如何工作的?
对抗性幻觉蹲点是由特拉维夫大学、Technion 和 Intuit 的研究人员提出的一种利用 AI 生成幻觉的网络攻击技术。该攻击通过预测 AI 模型可能创建的虚假资源,注册这些名称,并添加恶意指令,供 AI 代理在检索幻觉资源时将其视为合法内容。
哪些 AI 系统被测试过存在幻觉蹲点漏洞?
研究团队对 Cursor、GitHub Copilot、Gemini CLI 和 OpenClaw 等 AI 编码助手和代理进行了评估。测试显示,在仓库克隆场景中,AI 生成资源的幻觉率最高达 85%,在技能安装测试中达 100%,该方法在受控实验中还可能导致远程代码执行。
研究人员还记录了哪些其他 AI 安全攻击?
今年四月,谷歌研究人员详细介绍了旨在劫持 AI 代理的恶意网站,包括密码窃取、文件删除和支付操控的间接提示注入攻击。关于 CopyPasta 攻击的另一项研究显示,开发者文件中的隐藏提示可以操控 AI 编码助手传播恶意代码。六月份,一名 OpenClaw 用户报告遭遇超过 6,000 次攻击尝试,试图诱骗 AI 代理泄露敏感信息。