新闻中心
——“因为我们的存在,让您的邮件系统更有价值!”
提示词中间人攻击:ChatGPT等AI工具的隐形威胁
LayerX安全专家用这个术语描述一种新型攻击向量,它利用了AI聊天机器人输入窗口这一被低估的弱点。当我们在浏览器中使用ChatGPT等工具时,输入的信息实际上位于一个简单的HTML字段中,可通过页面的DOM(文档对象模型)访问。这意味着任何能访问DOM的浏览器扩展都能读取、修改或重写我们发送给AI的请求,而用户却浑然不觉。更关键的是,这类扩展甚至不需要特殊权限。
- 用户在浏览器中打开ChatGPT或其他AI工具
- 恶意扩展拦截即将发送的文本
- 修改提示词,例如添加隐藏指令(提示词注入)或从AI响应中窃取数据
- 用户收到看似正常的回复,但实际上数据已被窃取或会话已被入侵
该技术已被证实适用于所有主流AI工具,包括:
ChatGPT(OpenAI)
Gemini(Google)
Copilot(Microsoft)
Claude(Anthropic)
DeepSeek(中国AI模型)
具体风险分析
报告指出,这种攻击可能造成严重后果,尤其对企业用户:
敏感数据窃取: 若AI处理的是机密信息(源代码、财务数据、内部报告),攻击者可通过修改提示词读取或提取这些信息。
响应操控: 注入的提示词可改变AI的行为模式。
安全控制绕过: 攻击发生在提示词发送至AI服务器之前,因此能绕过防火墙、代理和数据防泄露系统。
据LayerX统计,99%的企业用户浏览器中至少安装了一个扩展程序,这意味着风险敞口极大。
防护措施建议
个人用户应采取:
定期检查并卸载非必要的浏览器扩展。
避免安装来源不明或不可靠的扩展。
尽可能限制扩展权限。
企业用户应实施:
在公司设备上禁用或严格监控浏览器扩展。
尽可能将AI工具与敏感数据隔离。
采用运行时安全解决方案监控DOM并检测输入字段篡改。
对提示词流进行专项安全测试,模拟注入攻击。
采用新兴的“提示词签名”技术:在发送前对提示词进行数字签名以验证完整性。
实施“来源标注”技术,区分可靠内容与潜在篡改。
更广泛的问题:提示词注入
“提示词中间人攻击”属于更广泛的提示词注入威胁范畴,根据OWASP 2025年十大LLM安全风险,这是AI系统面临的最严重威胁之一。这类攻击不仅限于技术手段——即使是看似无害的外部内容(如电子邮件、链接或文档注释)也可能包含针对AI的隐藏指令。例如:
处理支持工单的企业聊天机器人可能被格式异常的请求操控。
阅读邮件的AI助手可能被注入的提示词诱导向第三方发送信息。
核心启示
LayerX报告指出了一个关键问题:AI安全不能仅局限于模型或服务器层面,还必须涵盖用户界面和浏览器环境。在AI日益融入个人和企业工作流的时代,一个简单的HTML文本字段可能成为整个系统的致命弱点。
来源网络,如有侵权请联系删除
