報導摘要

網路安全公司 LayerX 發現了一種新型網路攻擊手法，稱為「中間人提示（Man in the Prompt）」。這種攻擊利用惡意瀏覽器擴充功能，能夠在用戶不知情的情況下，對 ChatGPT 和 Google Gemini 等生成式 AI 工具進行操縱。由於這些 AI 服務的提示輸入欄位是網頁 DOM（Document Object Model）的一部分，擁有基本腳本存取權限的擴充功能，無需特殊權限就能讀取、修改或注入指令，從而達到竊取資料、操縱回應或欺騙 AI 執行非預期操作的目的。

資安風險

「中間人提示」攻擊的主要資安風險在於其隱蔽性和對傳統安全工具的規避。攻擊者可以透過惡意擴充功能，在用戶與 AI 互動的過程中竊取敏感資料，例如公司機密資訊。LayerX 的概念驗證攻擊證實，這類惡意擴充功能不僅能注入提示並刪除聊天紀錄，甚至能在 Google Gemini 側邊欄關閉的情況下，從 Google Workspace 中竊取用戶資料。由於攻擊行為發生在瀏覽器內部，傳統的安全防護措施如端點安全工具通常無法偵測到這些 DOM 層級的互動，使得企業面臨極大的資料外洩風險。

安全影響

這種攻擊對個人和企業都帶來嚴重的安全影響。對於個人而言，可能導致私人資訊被竊取或 AI 提供的資訊被惡意篡改。對於企業來說，如果員工在 AI 工具中處理客戶資料、財務報告或研發資訊等機密內容，惡意擴充功能便可將這些資料外洩。這不僅會造成巨大的經濟損失，還可能違反資料保護法規，損害企業聲譽。這種攻擊也凸顯了現有安全框架的不足，因為它將攻擊範圍從傳統的網路層級擴展到了應用程式的內部互動層面。

行動建議

1. 監控瀏覽器行為：實施新的安全措施，以監控瀏覽器內部的行為，特別是 AI 工具中的 DOM 互動。
2. 阻止惡意擴充功能：根據擴充功能的行為模式來封鎖潛在的惡意擴充功能。
3. 強化網路監控：部署深度層級的網路監控，以檢測與 AI 工具互動相關的異常資料流量。
4. 員工教育：提醒員工警惕不明來源的瀏覽器擴充功能，並告知他們在 AI 工具中處理機密資訊的風險。

結論

「中間人提示」攻擊是一種針對生成式 AI 工具的新型且危險的威脅，它利用了瀏覽器擴充功能與網頁 DOM 的互動特性。這項發現表明，我們不能只專注於保護 AI 模型本身，還必須將安全防護延伸到整個資料旅程，尤其是容易受到攻擊的瀏覽器環境。未來，企業需要更全面、更細緻的安全策略，以應對不斷演變的網路威脅，確保在使用 AI 技術時的資料安全。