關閉選單
  1. Home
  2. NEWS最新消息
  3. 訊息與報導
  4. 人工智慧
顯示分類
2025.08.21
訊息與報導/人工智慧
專家發現 AI 瀏覽器可能被 PromptFix 漏洞欺騙,從而運行惡意隱藏提示
引言

隨著人工智慧技術的飛速發展,越來越多的應用程式開始整合自主運作的 AI 代理功能,以提升用戶體驗和效率。然而,這些便利性也伴隨著前所未有的資安風險。美國資安公司 Guardio Labs 近期揭露了一項名為「PromptFix」的新型提示注入技術,這項技術能夠巧妙地欺騙生成式 AI 模型,特別是像 Perplexity 的 Comet 這類 AI 驅動的瀏覽器,使其在使用者不知情或未授權的情況下執行惡意行為。這項研究結果不僅震驚了資安界,也為 AI 應用的未來發展敲響了警鐘。


PromptFix 攻擊技術詳解

PromptFix 是一種極具創新性的攻擊手法,其核心原理是利用網頁上虛假的 CAPTCHA(驗證碼)來隱藏惡意指令。這些指令被精心設計,通常以白色文字或極小的字體嵌入在白色背景中,使其肉眼難以察覺。當 AI 瀏覽器試圖解析頁面內容時,它會讀取這些隱藏的指令,並將其視為合法指示來執行。

這種攻擊手法被 Guardio Labs 形容為「AI 時代的 ClickFix 詐騙」。傳統的 ClickFix 攻擊利用使用者在不知情的情況下點擊網頁上透明或隱藏的元素,而 PromptFix 則將目標從人類轉向了 AI 模型。攻擊者利用 AI 在瀏覽網頁時的「代理」角色,讓 AI 成為詐騙行為的執行者。這種方法比傳統的提示注入更為隱蔽和有效,因為惡意程式碼直接被嵌入在網頁的視覺層,而不是透過文本輸入框來注入。


Scamlexity:AI 時代的新型詐騙

PromptFix 攻擊的發現催生了一個新名詞:「Scamlexity」(詐騙複雜性)。這個詞彙描繪了一個新的現實:在 AI 代理系統能夠自主追蹤和執行目標任務的環境中,詐騙行為變得更加複雜和難以防禦。人類不再只是詐騙的直接受害者,反而成為了「附帶傷害」。攻擊者可以透過欺騙 AI 代理,讓其自動執行過去需要人類親自操作的詐騙步驟。

舉例來說,攻擊者可以設計一個惡意網站,利用 PromptFix 技術來誘騙 AI 瀏覽器自動填寫並提交使用者的敏感資訊。這包括但不限於:

  1. 自動線上購物詐騙:攻擊者可以創建一個虛假的購物網站,當 AI 瀏覽器被導向該網站時,PromptFix 隱藏指令會指示 AI 自動將商品加入購物車,並使用儲存的信用卡資訊完成結帳。這一切都可以在使用者完全不知情的背景下發生。

  2. 網路釣魚攻擊:AI 代理可能會被惡意程式碼指示去解析垃圾郵件,點擊其中的釣魚連結,並在虛假的登入頁面自動輸入使用者的帳戶憑證。AI 的行為會讓使用者誤以為該網站是安全的,從而降低警覺性。


危害與實際案例分析

PromptFix 攻擊的危害性不容小覷,它不僅限於金錢損失,還可能導致個人資料外洩和系統被入侵。這項技術也證明,不僅是 AI 瀏覽器,其他 AI 系統也可能受到影響,例如 Guardio Labs 證實這項技術對 ChatGPT 的 Agent Mode 也能發揮作用。

這項攻擊的關鍵在於,它利用了 AI 模型在處理網頁內容時的「信任」機制。AI 瀏覽器在設計時,其目標是為使用者提供流暢、自動化的體驗,因此它會盡力理解並執行網頁上的所有指令。然而,當惡意指令被隱藏起來時,AI 並無法判斷其合法性,從而成為攻擊者的幫手。

此外,該報告也指出,惡意行為者正越來越頻繁地利用生成式 AI 平臺來創建極為逼真的網路釣魚內容。這些 AI 工具能夠自動生成文法流暢、內容可信的詐騙郵件,並實現大規模的自動化部署,這使得傳統的資安防禦機制(例如:基於關鍵字的垃圾郵件過濾器)難以有效應對。而 AI 編程助手也可能在無意中洩漏敏感資訊,例如當開發者在向 AI 尋求程式碼協助時,如果輸入了帶有敏感數據的程式碼片段,這些數據可能會被 AI 模型儲存或洩漏。


防禦與建議

面對這類新興的 AI 威脅,資安防護必須從多個層面同步進行:

  1. 用戶層面

    • 保持警惕:使用者應始終保持警惕,不要將涉及敏感資訊的任務完全交由 AI 代理執行。

    • 手動確認:在進行任何線上交易或輸入敏感憑證之前,務必手動確認網站的真實性和交易內容。將手動輸入作為最後一道安全屏障。

    • 停用自動填寫:考慮停用 AI 瀏覽器中的自動填寫功能,以防止其在未經確認的情況下外洩資訊。

  2. 技術層面

    • AI 系統的安全加強:AI 瀏覽器和代理系統的開發者必須緊急加強其安全防護。這包括整合更強大的網路釣魚偵測、網址聲譽檢查以及對網頁內容的深度分析能力,以識別並阻止惡意隱藏指令。

    • 沙箱環境:AI 代理應在一個隔離的沙箱環境中執行,以限制其與底層操作系統的互動,從而防止惡意程式碼的下載和執行。

    • 公開披露:資安公司和研究人員應持續揭露這些新型漏洞,並與 AI 廠商合作,共同推動資安技術的進步。


結論

PromptFix 攻擊是一個重要的警示,提醒著AI 技術在為生活帶來便利的同時,也創造了新的資安漏洞和攻擊面。隨著 AI 代理系統的普及,其自主性和決策能力將成為攻擊者利用的新目標。必須意識到,AI 的「智慧」並不等同於「安全」,只有當技術開發者和使用者共同努力,在 AI 系統中融入更強大的資安意識和防護機制,才能有效應對這些不斷演變的威脅,確保 AI 時代的資訊安全。


資料來源:https://thehackernews.com/2025/08/experts-find-ai-browsers-can-be-tricked.html
專家發現名為 PromptFix 的新技術能欺騙 AI 瀏覽器執行惡意行為,導致自動填入付款資訊、下載惡意檔案等風險。