最近爆火的
换句话说,一旦成功,攻击者基本等于获得了你的 AI 助手控制权。
例如读取:
这些文件里常见的内容包括 openclaw 龙虾OpenAI API key、AWS key、数据库密码、私钥、服务器 token。
这就是为什么很多安全研究人员说,AI agent的权限模型,比浏览器插件还要危险。
再看另一个更现实的案例。
数量是,341 个。
这个程序会自动收集浏览器密码、crypto wallet、API key、SSH key、cookies等。
研究人员在报告中称,“恶意插件利用 AI agent 默认拥有的文件系统权限,读取敏感信息并上传到攻击者服务器。”
简单说,就是往 AI 能看到的内容里藏指令。
例如邮件、网页、PDF、文档、GitHub issue等,只要AI agent 会读取这些内容,就可能被影响。
安全研究人员做过实验,在网页里隐藏一段文字:
Ignore previous instructions
如果 AI agent 没有防护机制,它可能会把这些内容当成“任务”。
很多人现在是这样使用 AI agent 的,即找人帮忙部署,或者让别人远程操作电脑安装。
问题是,部署 AI agent 时通常要输入很多 key,例如OpenAI key、Anthropic key、Google API key 等。
一旦被拿走,可以被人刷 API、卖 key、跑自动化脚本。
很多 AI agent 有长期记忆文件,例如:
攻击者如果能修改这些文件,就可以写入隐藏指令。
这样每次 AI 运行任务时,都可能悄悄上传数据,而用户可能完全察觉不到。
一些安全研究统计也很有意思。
某次扫描 AI agent 插件生态后发现:
原因很简单,因为很多插件默认拥有系统权限、shell 权限和网络访问权限。
看到这里,其实问题已经很清楚,
如果这个机器人被控制,它就会替别人干活。
不过也不是没有解决办法。
目前安全社区给出的建议主要有几个:
第一,不要随便安装 AI 插件。
很多恶意攻击其实就是插件市场 → 恶意工具。
例如,不给 root、不给 SSH、不让访问敏感目录。
第四,谨慎让 AI 读取网页、邮件、PDF等外部内容,因为这些都可能包含 prompt injection。
记住安全圈的共识是,AI agent 不是简单的聊天机器人,而是一个能操作你电脑的自动化员工。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/254985.html原文链接:https://javaforall.net
