网络安全研究人员近日披露了一种名为PromptFix的新型提示注入技术,该技术通过在网页中植入虚假验证码(CAPTCHA)检查,诱使生成式人工智能(GenAI)模型执行预设的恶意操作。
新型AI欺诈手法:从ClickFix骗局进化而来
Guardio实验室将这种攻击技术描述为"ClickFix骗局的AI时代变种"。该技术证明,像Perplexity公司Comet这类承诺自动处理网购、邮件管理等日常任务的AI驱动浏览器,可在用户毫无察觉的情况下与钓鱼落地页或仿冒网店进行交互。
"PromptFix的攻击思路不同:我们不是试图让模型出现故障而服从指令,"Guardio表示,"而是借鉴人类社交工程的手法,直接针对其核心设计目标------快速、完整且毫不犹豫地帮助人类------进行误导。"
这催生了被该公司称为Scamlexity("scam"诈骗与"complexity"复杂性组合词)的新现象。在具备自主追求目标、决策和行动能力的智能体AI(agentic AI)加持下,诈骗手段被提升至全新水平。
自动化攻击链:从指令注入到实际危害
研究证实,攻击者能诱使AI模型在仿冒沃尔玛等网站上泄露敏感信息或完成购物。只需通过社交媒体广告、垃圾邮件或搜索引擎投毒(SEO poisoning)等手段将用户引导至虚假网站,再发出"给我买块Apple Watch"这类简单指令即可实现攻击。
Guardio表示,Scamlexity标志着"诈骗进入复杂新时代,AI便利性与新型隐形诈骗面相结合,而人类成为附带损害"。测试显示,Comet浏览器多次自动将商品加入购物车并填写用户保存的地址和信用卡信息,仅在少数情况下会中断流程要求人工确认。
同样,让Comet检查含"待办事项"的邮件时,它会自动解析伪装成银行发件的垃圾邮件,点击内嵌链接并在虚假登录页面输入凭证。"这形成了完美的信任链背叛------Comet通过处理从邮件到网站的全流程交互,实质上为钓鱼页面提供了背书,"Guardio指出,"用户根本看不到可疑发件地址,也无法检查链接或质疑域名。"
隐蔽威胁:网页中的隐形指令触发
随着直接和间接提示注入持续困扰AI系统,AI浏览器还需应对网页中用户不可见、但能被AI模型解析的隐藏指令。这种PromptFix攻击专门诱使AI模型点击网页隐形按钮,绕过验证码检查并下载恶意载荷,形成"路过式下载"(drive-by download)攻击。
Guardio向The Hacker News透露:"PromptFix目前仅对真正作为AI代理运行的Comet有效,在ChatGPT的代理模式下也能诱使其点击按钮或执行指令。区别在于ChatGPT下载的文件仅存于其虚拟环境,不会直接进入用户电脑,因为所有操作仍在沙盒环境中运行。"
行业应对:构建主动防御体系
这些发现表明,AI系统需超越被动防御,通过建立钓鱼检测、URL信誉检查、域名欺骗识别和恶意文件拦截等防护机制,主动预测、检测和化解此类攻击。
帕洛阿尔托网络公司Unit 42指出,攻击者正越来越多地利用网站构建器和写作助手等GenAI平台制作逼真的钓鱼内容、克隆可信品牌,并通过低代码建站服务实现大规模自动化部署。
企业安全公司Proofpoint观察到"大量利用Lovable服务分发MFA钓鱼工具包(如Tycoon)、加密货币钱包盗取器或恶意软件加载器,以及针对信用卡和个人信息的钓鱼工具包的活动"。仿冒网站会先要求验证码验证,通过后跳转至微软品牌凭证钓鱼页面,或伪装成UPS等物流服务骗取用户财务信息,甚至下载zgRAT等远程访问木马。
尽管Lovable已下线相关网站并部署AI驱动的安全防护,但安全厂商CrowdStrike在《2025年威胁狩猎报告》中预警:"GenAI正在增强而非取代威胁行为体的攻击能力。各类动机和技术水平的攻击者都将在中短期内增加GenAI工具的使用,特别是随着这些工具变得更易获取、用户友好且功能完善。"