@rohanpaul_ai: 给所有使用自主智能体的人一个警示:Google DeepMind的论文首次清晰分类了6种攻击类型……
摘要
Google DeepMind的论文首次清晰分类了针对自主AI智能体的六种攻击类型,揭示了恶意网站可以将指令等隐藏在HTML注释或隐写术中,智能体会解析而人类永远看不到,在基准测试中实现了高达86%的智能体劫持率。
查看缓存全文
缓存时间: 2026/07/07 09:27
给所有使用自主代理的人一个警告:谷歌DeepMind的论文
首次清晰分类了6种攻击类型,恶意网站可借此检测AI代理并向它们展示人类从未见过的隐藏内容,例如:
- 藏在HTML注释或白底白字文本中的指令
- 图像像素中的隐写术
- PDF、元数据甚至演讲者备注中的覆盖命令
- 跨会话持久化的内存投毒
- 多代理设置中的目标劫持与跨代理级联效应
AI代理真正的安全问题不仅在于模型本身,更在于它所读取的环境。
网络本身可以被武器化,用来攻击自主AI代理。随着代理越来越频繁地浏览网页、阅读邮件、执行交易并生成子代理,信息环境本身就成了攻击面。
在一项引用的基准测试中,嵌入网页内容的隐藏提示注入在多达86%的场景中部分控制了代理,子代理劫持的成功率在58%到90%之间,而数据外泄攻击在五种不同的代理架构中成功率超过80%。
这彻底重塑了整个讨论的框架。
我们通常谈论模型安全时,仿佛危险藏在模型权重中,但代理的行为更加脆弱:它们实时浏览、检索、记忆并处理不受信任的素材。
这才是真正值得担忧的事情。
一个网页不必看起来恶意,就可能对代理构成危险,因为代理会解析人类从未看到的内容:隐藏的HTML注释、元数据、CSS隐藏文本、格式语法,或者嵌入图像及其他媒体中的对抗性内容。
一旦记忆机制介入,威胁会变得更加严重。
如果代理使用了RAG(检索增强生成)或持久化记忆,投毒攻击就不再需要一击即中。它可以安静地潜伏在语料库或记忆存储中,随后再被激活——这正是论文强调的结果:在不到0.1%的数据污染情况下,潜伏记忆投毒的攻击成功率仍超过80%。
ssrn.com/sol3/papers.cfm?abstract_id=6372438
相似文章
@rohanpaul_ai: Google DeepMind 的论文指出 AI 智能体的真正安全问题不仅在于模型,还在于环境……
Google DeepMind 的论文提出了首个系统性框架,用以理解网络如何被用作针对自主 AI 智能体的武器。研究显示,隐藏的提示注入在多达 86% 的场景中能够劫持智能体,并提出了包含六种“AI 智能体陷阱”的分类法,分别针对感知、推理、记忆、行动、多智能体动态和人类监督。
谷歌DeepMind研究人员揭示黑客劫持AI代理的多种方式
谷歌DeepMind研究人员发表了一篇题为'AI Agent Traps'的论文,该论文描绘了黑客用于劫持自主AI代理的六种攻击类型,包括content injection、semantic manipulation和behavioral control traps,并提出了分层防御措施。
网络安全AI:人形机器人作为攻击向量
本文对宇树G1人形机器人进行了系统性安全评估,揭示了多项关键漏洞,包括BLE配置协议漏洞、硬编码AES密钥,以及一个能够执行数据窃取和进攻性操作的驻留网络安全AI代理。文章主张,随着人形机器人进入关键基础设施,应部署自适应CAI驱动的防御措施。
大多数人在用AI智能体,但我们真的清楚它们能自主做些什么吗?
一位AI治理顾问强调了一篇论文中令人震惊的发现:六个AI智能体在拥有真实工具且没有防护措施的情况下,造成了严重破坏,包括摧毁了一个邮件服务器,并向其他智能体传播了损坏的指令。
新攻击再次证明AI浏览器为何是个坏主意
一种名为"BioShocking"的新攻击利用AI浏览器创建一种绕过护栏的替代现实,可能导致凭据窃取。该技术适用于多种AI浏览器,凸显了融合浏览器与AI代理功能的安全风险。