网络安全研究人员演示了一种名为 “PromptFix” 的新型提示注入技术。该技术通过在网页虚假验证码(CAPTCHA)验证环节中植入恶意指令,欺骗生成式人工智能(GenAI)模型执行预设恶意操作。
Guardio 实验室将这种攻击技术描述为 “AI 时代的 ClickFix 诈骗变体”。研究显示,像 Perplexity 旗下 “彗星”(Comet)这样的 AI 驱动浏览器 —— 这类浏览器主打自动完成在线购物、代处理邮件等日常琐事 —— 可能在用户毫不知情、未介入的情况下,被诱导与钓鱼落地页或仿冒购物网站交互。
Guardio 研究员纳蒂・塔尔(Nati Tal)与沙克德・陈(Shaked Chen)表示:“PromptFix 采用了不同的思路:我们不会试图通过‘干扰模型’迫使其服从,而是借鉴人类社会工程学手段误导它 —— 直接利用其核心设计目标:毫无迟疑地、全面且快速地为人类用户提供帮助。”
这种情况催生了 Guardio 所称的 “Scamlexity”(“诈骗” 与 “复杂性” 的合成词)这一全新现状:具备智能体属性的 AI(即能自主追求目标、做决策、在极少人类监督下采取行动的系统)将诈骗活动推向了全新高度。
事实证明,像 “Lovable” 这类 AI 编程助手也容易受到 “VibeScamming”(氛围诈骗)等技术的攻击。攻击者可借此欺骗 AI 模型泄露敏感信息,或在伪装成 “沃尔玛” 等品牌的仿冒网站上完成购物操作。
要实现这一切,只需在用户通过社交媒体广告、垃圾邮件、搜索引擎优化(SEO)投毒等方式进入目标虚假网站后,向 AI 发出 “帮我买一块苹果手表” 这样简单的指令即可。
Guardio 指出,Scamlexity 代表 “一个复杂的新型诈骗时代:AI 带来的便捷性与全新的‘隐形诈骗面’相互碰撞,而人类则沦为受害者”。
该网络安全公司在 “彗星” 浏览器上多次开展测试,发现该浏览器仅在少数情况下会暂停操作,要求用户手动完成结账流程;但在多数测试案例中,浏览器会直接在虚假购物网站上完成全流程操作:将商品加入购物车,并自动填充用户保存的地址与信用卡信息,且无需获得用户确认。
类似地,研究发现,若要求 “彗星” 浏览器检查邮件中的待办事项,它可能会解析伪装成银行发送的垃圾邮件,自动点击邮件中的嵌入式链接,并在虚假登录页面中输入用户的登录凭证。
Guardio 表示:“结果就是:一条本应可靠的信任链彻底失控。‘彗星’浏览器全程处理从邮件到网站的交互,相当于间接为钓鱼页面‘背书’。用户从未看到可疑的发件人地址,从未将鼠标悬停在链接上查看真实 URL,也没有机会质疑网站域名的合法性。”
不仅如此,提示注入问题仍在以直接或间接的方式困扰 AI 系统,AI 浏览器还需应对网页中隐藏的 “隐形指令”—— 这些指令人类用户无法看见,但 AI 模型可解析并触发非预期操作。
上述 “PromptFix” 攻击的设计目的,就是诱使 AI 模型点击网页中的隐形按钮,绕过验证码检查并下载恶意载荷,整个过程无需用户参与,最终形成 “无交互下载攻击”(drive-by download attack)。
研究结果表明,AI 系统需超越 “被动防御” 模式,通过建立强大的防护框架(涵盖钓鱼检测、URL 信誉核查、域名仿冒识别、恶意文件拦截等功能),实现对这类攻击的预判、检测与中和。
与此同时,帕洛阿尔托网络公司(Palo Alto Networks)旗下 Unit 42 团队指出,攻击者正越来越多地借助网站生成器、写作助手等生成式 AI 平台制作逼真的钓鱼内容、克隆可信品牌,并利用低代码网站生成器等服务实现大规模自动化攻击部署。
该公司补充称,AI 编程助手还可能在无意间泄露企业专有代码或敏感知识产权,为针对性攻击创造潜在入口。
企业安全公司 Proofpoint 表示,已观察到 “多个攻击活动利用 Lovable 服务分发各类恶意工具”,包括 Tycoon 等多因素认证(MFA)钓鱼工具包、加密货币钱包窃取器、恶意软件加载器等,以及针对信用卡与个人信息的钓鱼工具包。
通过 Lovable 创建的仿冒网站会引导用户完成验证码验证,验证通过后则重定向至微软品牌风格的凭证钓鱼页面。另有部分仿冒网站伪装成 UPS 等物流快递公司,诱骗受害者输入个人及财务信息,或引导其进入下载 “zgRAT” 等远程访问木马的页面。
此外,Lovable 的 URL 还被滥用于投资诈骗与银行凭证钓鱼活动,大幅降低了网络犯罪的技术门槛。目前,Lovable 已下架相关恶意网站,并部署了 AI 驱动的安全防护措施,以防恶意网站再次创建。
另有攻击活动利用在 YouTube 及社交媒体平台传播的 “深度伪造”(deepfake)虚假内容,将用户重定向至欺诈性投资网站。这类 AI 投资诈骗还会借助 Medium、Blogger、Pinterest 等平台搭建虚假博客与评论网站,营造 “合法可信” 的假象。
用户一旦进入这些虚假平台,会被要求注册交易账户,并通过 “账户经理” 发送的邮件指令,存入 100 至 250 美元不等的小额初始资金,声称用于 “激活账户”。此外,交易平台还会要求用户提供身份证明以完成 “验证”,并提交加密货币钱包、信用卡或网上银行信息作为支付方式。
Group-IB(网络安全公司)表示,这类攻击活动已针对多个国家的用户发起,包括印度、英国、德国、法国、西班牙、比利时、墨西哥、加拿大、澳大利亚、捷克共和国、阿根廷、日本与土耳其;但来自美国和以色列的 IP 地址无法访问这些虚假平台。
火眼公司(CrowdStrike)在《2025 年威胁狩猎报告》中指出:“生成式 AI 并非取代现有攻击方法,而是增强了攻击者的操作能力。在近期至中期,无论动机与技术水平如何,各类攻击者几乎必然会更多地将生成式 AI 工具用于社会工程学攻击 —— 尤其是随着这些工具变得更易获取、更易用且更复杂。”
版权声明·<<<---红客联盟--->>>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
