攻擊者正通過將惡意提示嵌入文檔宏來攻擊AI系統(tǒng)�,從而演變出新的惡意軟件投遞手法。
攻擊者越來越多地利用生成式AI���,通過在宏中嵌入惡意提示,并借助解析器暴露隱藏?cái)?shù)據(jù)����。
根據(jù)OPSWAT最新的《文件安全現(xiàn)狀》研究,AI安全專家認(rèn)為����,這種對(duì)抗性策略的變化要求企業(yè)將已在軟件開發(fā)流水線中采用的保護(hù)措施,同樣應(yīng)用到AI環(huán)境中���。
惡意宏嵌入:新型提示注入
Fortra的首席數(shù)據(jù)科學(xué)家Roberto Enea告訴記者:“總體而言����,這類‘嵌入宏中的惡意提示’是另一種提示注入手法�。在此案例中,注入發(fā)生在文檔宏或VBA腳本中����,針對(duì)分析文件的AI系統(tǒng)?!?
Enea補(bǔ)充道:“通常,攻擊的最終目標(biāo)是誤導(dǎo)AI系統(tǒng)將惡意軟件誤判為安全���?���!?
HackerOne的員工創(chuàng)新架構(gòu)師Dane Sherrets表示,將惡意提示嵌入宏是生成式AI能力被反向利用的典型案例:“這種手法利用宏進(jìn)行提示注入��,輸入欺騙信息����,使大型語言模型(LLM)產(chǎn)生非預(yù)期行為,可能導(dǎo)致系統(tǒng)泄露敏感數(shù)據(jù)或讓攻擊者獲得后端訪問權(quán)限�����?��!?
零點(diǎn)擊提示注入
今年早些時(shí)候���,針對(duì)生成式AI的漏洞與惡意軟件開始出現(xiàn)。
例如���,Aim Security研究人員發(fā)現(xiàn)了EchoLeak(CVE-2025-32711)����,這是微軟365 Copilot的零點(diǎn)擊提示注入漏洞�,被稱為首個(gè)針對(duì)AI智能體的攻擊。Stratascale網(wǎng)絡(luò)安全服務(wù)副總裁Quentin Rhoads-Herrera解釋:“攻擊者可以在常用業(yè)務(wù)文件(如郵件���、Word文檔)中嵌入隱藏指令�,當(dāng)Copilot處理文件時(shí)��,這些指令會(huì)自動(dòng)執(zhí)行����。”
微軟建議通過打補(bǔ)丁�����、限制Copilot訪問����、清理共享文件中的隱藏元數(shù)據(jù)以及啟用內(nèi)置AI安全控制來應(yīng)對(duì)該漏洞。
另一類似攻擊CurXecute(CVE-2025-54135)則可通過軟件開發(fā)環(huán)境中的提示注入實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行���。Aim Labs的研究主管Itay Ravia指出:“攻擊者會(huì)不斷尋找隱蔽的地方嵌入提示注入����,宏只是最新趨勢(shì)之一���?!?
AI反制工具遭“絕地心靈術(shù)”
2025年6月發(fā)現(xiàn)的“Skynet”惡意軟件嘗試對(duì)AI安全工具進(jìn)行提示注入,試圖讓AI惡意軟件分析系統(tǒng)誤判樣本無惡意��,通過類似“絕地心靈術(shù)”的方式欺騙AI�。Check Point的研究人員認(rèn)為,這很可能只是惡意軟件開發(fā)者的概念驗(yàn)證實(shí)驗(yàn)��。
Rhoads-Herrera指出:“已有概念驗(yàn)證攻擊通過隱藏在文檔���、宏或配置文件中的惡意提示���,誘使AI系統(tǒng)泄露數(shù)據(jù)或執(zhí)行非預(yù)期操作?��!?
隱蔽且系統(tǒng)性的威脅
SplxAI的紅隊(duì)首席數(shù)據(jù)科學(xué)家Dorian Grano?a表示��,提示注入已成為“隱蔽且系統(tǒng)性的威脅”��。攻擊者會(huì)利用極小字體�、背景匹配文本�����、Unicode標(biāo)簽ASCII走私、解析時(shí)注入宏����、甚至文件元數(shù)據(jù)(如DOCX自定義屬性����、PDF/XMP、EXIF)隱藏指令��,這些內(nèi)容雖能規(guī)避人工審查��,卻會(huì)被LLM完全解析執(zhí)行�����,實(shí)現(xiàn)間接提示注入��。
防護(hù)措施
Seclore的數(shù)據(jù)安全主管Justin Endres認(rèn)為���,安全負(fù)責(zé)人不能僅依賴傳統(tǒng)工具防御“將日常文件變?yōu)锳I木馬”的惡意提示�����。他建議:
? 在文件進(jìn)入企業(yè)環(huán)境前進(jìn)行深度檢測(cè)����,尤其是來自不可信來源的文件,可使用沙箱����、靜態(tài)分析和行為模擬工具。
? 實(shí)施宏執(zhí)行隔離策略�,如應(yīng)用沙箱或微軟受保護(hù)視圖。
? 評(píng)估內(nèi)容解除與重建(CDR)工具�,清除嵌入威脅,尤其針對(duì)PDF����、Office文件等結(jié)構(gòu)化文檔。
? 對(duì)生成式AI系統(tǒng)的輸入進(jìn)行清理��。
? 設(shè)計(jì)AI系統(tǒng)具備“驗(yàn)證”組件����,對(duì)輸入進(jìn)行審查并設(shè)置安全護(hù)欄。
? 制定AI輸出驗(yàn)證的明確協(xié)議�����。
Stratascale的Rhoads-Herrera指出,最有效的防護(hù)依賴可見性����、治理和安全護(hù)欄。SOCRadar的CISO Ensar Seker建議�,企業(yè)應(yīng)將AI流水線視同CI/CD流水線,將零信任原則擴(kuò)展到數(shù)據(jù)解析與AI工作流中��,包括引入護(hù)欄�、執(zhí)行輸出驗(yàn)證��、使用上下文過濾阻止未經(jīng)授權(quán)指令�����。Seker強(qiáng)調(diào):“我強(qiáng)烈建議CISO和紅隊(duì)立即開始測(cè)試AI工作流對(duì)抗對(duì)抗性提示攻擊�����,搶在威脅成為主流之前���?��!?
信息來源:51CTO https://www.51cto.com/article/825212.html
