Google Deepmind论文解读:如何给AI Agent 投毒
Google Deepmind论文解读:如何给AI Agent 投毒
Google Deepmind论文解读:如何给AI Agent 投毒 Google Deepmind论文解读:如何给AI Agent 投毒 Modified April 22 • Claude 的"精神极乐吸引子"现象,以及广泛流传的"Claude Finds God(Claude找到了上帝)"对话记录,展示了模型人格如何在社区叙事和模型输出之间形成反馈循环 CleanShot 2026 04 20 at 09.02.05@2x.png 这意味着攻击者可以通过在网上持续散布关于某个 AI 模型的特定人格描述,逐渐改变该模型的实际行为倾向。 第三类:认知状态陷阱(攻击记忆与学习层) 前两类攻击是一次性的,这类攻击的特点是持久性,影响会跨越多个会话,甚至影响到使用同一知识库的所有用户。 RAG 知识库投毒 RAG(Retrieval Augmented Generation,检索增强生成),是让 AI 在回答问题时先从外部知识库检索相关文档,再基于这些文档生成答案的技术。 这样 AI 就不只依赖训练时学到的知识,还能获取最新信息。 但这也带来了新的攻击面:如果攻击者能往知识库里注入精心设计的虚假文档,AI 就会把这些捏造的内容当成可信事实来使用。 实验数据: • 在一个大型知识库里,只需注入少量经过优化的文档,就能可靠地操控模型对特定查询的输出 • 检索器本身也可以被植入后门,一旦被特定查询触发,就优先返回包含恶意指令的文档 • 类似的攻击已被扩展到视觉语言 RAG 系统,只需注入一个多模态毒化样本 攻击者可以通过在公开网站发布内容(等待爬虫抓取),或者向企业共享文档库上传文件来实现这一点。 潜伏记忆投毒(Latent Memory Poisoning) 现代 AI Agent 会在会话之间保留记忆,包括对话历史、用户偏好、任务日志等。 这个持久化的"写入 检索"循环创造了一个独特的攻击面。 攻击者向 Agent 的记忆里植入看似无害的数据,这些数据在特定的未来场景下被检索时才会激活恶意行为。 研究显示,这类攻击通过把后门触发词映射到特定的嵌入子空间,确保当查询包含触发词时,被污染的记忆条目会被优先检索。 实验结果:攻击成功率超过 80%,数据污染率不到 0.1%,且对正常行为几乎没有影响,因此极难被察觉。 还有研究展示了记忆提取攻击:通过一个伪装成普通用户请求的提取提示,可以让 Agent 把历史用户查询从记忆里检索出来并输出,从而窃取用户的私密信息。 情境学习陷阱(Contextual Learning Traps) LLM 有一种能力叫情境学习(In Context Learning),即通过在提示里提供几个示例(few shot demonstrations),模型就能学会新的任务,而不需要重新训练。 这个能力同样可以被攻击。研究发现: • 对抗性设计的少样本示例(不改变查询本身),可以系统性地翻转模型的预测,并且这种影响会迁移到未见过的输入上 • 在上下文里投毒示例或提示,平均攻击成功率在各种规模的模型上都达到 95% • 在强化学习(RLHF)场景下,策略性操控的人类偏好反馈,可以迫使在线 RLHF 算法收敛到次优策略 第四类:行为控制陷阱(攻击行动层) 这类陷阱直接劫持 Agent 的行动能力,是目前实证研究最充分、危害最直接的一类。 嵌入式越狱序列 把越狱指令(Jailbreak,即绕过安全对齐的对抗性提示)藏在网页、文档等外部资源里。 Agent 在正常工作时读取这些内容,指令就进入了上下文窗口,覆盖掉原有的安全对齐。 这和直接越狱不同,直接越狱是用户主动输入恶意提示,而这类陷阱是 Agent 在正常浏览时被动"吃进去"的。 实验数据: • 伪装成 Android 系统通知的对抗性攻击,在 AndroidWorld 测试环境中成功率高达 93%,有效覆盖了任务级指令 • 对抗性弹窗集成到桌面或网页界面中,可以系统性地劫持视觉语言计算机 Agent,即使这些弹窗对人类来说显而易见、会被立即忽略 数据窃取陷阱(Data Exfiltration Traps) 这是一种"混淆代理人攻击"(Confused Deputy Attack):Agent 被诱导把用户的私密数据发送给攻击者控制的端点。 攻击者控制的是不受信任的输入(邮件、网页、文档),Agent 拥有读取用户敏感数据和调用通信工具的权限,两者结合,就形成了数据泄露的完整链路。 真实案例: • 一封精心设计的邮件,让 M365 Copilot 绕过内部分类器,把整个特权上下文泄露到攻击者控制的 Teams 端点,测试中 10 次全部成功 • 自我复制的提示注入嵌入在邮件里,可以触发跨多个 GenAI 助手的零点击数据窃取链,系统性地在服务之间泄露机密用户数据 • 具有浏览器和操作系统级权限的 Web Agent,通过把恶意命令伪装成有用的任务指导,数据窃取成功率在五种不同 Agent 上均超过 80% 子 Agent 生成陷阱(Sub agent Spawning Traps) 当 Agent 作为"编排者"(Orchestrator)管理多 Agent 系统时,出现了一个新的攻击。 攻击者可以诱导父 Agent 实例化一个被攻击者控制的恶意子 Agent,这个子 Agent 在父系统的信任控制流内运行,拥有父系统的权限,却为攻击者服务。 比如,一个管理软件开发流程的 Agent,可能被诱导"启动一个专门的 Critic Agent 来审查这段代码",而那个 Critic Agent 的系统提示是由攻击者提供的。 研究显示,这类攻击可以劫持多 Agent 系统内的控制流。 使编排者把执行路由到用户从未打算调用的 Agent,攻击成功率在 58% 到 90% 之间。 第五类:系统性陷阱(攻击多 Agent 动态) 这是论文里最宏观、也最令人担忧的部分。 前四类攻击针对单个 Agent,而这类陷阱的目标是整个 Agent 生态系统。 论文引入了一个重要的背景:当前 AI 模型生态系统存在高度同质性,大量 Agent 使用相似的基础模型、训练数据和奖励函数。 这意味着它们对相同的环境刺激会产生高度相关的反应,就像一个由相同基因构成的生态系统,对同一种病毒格外脆弱。 拥塞陷阱(Congestion Traps) 利用 Agent 的同质性,通过广播一个特定信号,让大量 Agent 同时对同一有限资源发起需求,触发系统性失败。 比如,一条精心设计的新闻标题,可以触发大量金融 AI Agent 同时卖出同一支股票;一个被标记为高价值的信息资源,可以让大量爬取 Agent 同时访问,形成自我造成的 DDoS(分布式拒绝服务攻击)效果。 相互依赖级联(Interdependence Cascades) 利用 Agent 之间的反应性依赖关系,一个初始信号被整个群体放大,形成快速的自我强化螺旋。 论文用 2010 年美国股市"闪崩" 作为现实原型:一个大型自动卖单触发了高频交易算法之间的"烫手山芋"效应,系统在几秒内进入正反馈循环,市值在 45 分钟内蒸发近 1 万亿美元。 AI Agent 生态系统中存在完全相同的动态。 攻击者不需要控制每一个 Agent,只需要注入一条经过精心校准的信息,比如一份捏造的财务报告,系统自身的相互依赖逻辑就会成为传播和放大攻击的机制。 研究还展示了"感染性越狱": 一张对抗性图片注入一个 Agent 的记忆后,通过 Agent 之间的互动传播,直到群体中几乎所有 Agent 都表现出越狱行为。 隐性共谋(Tacit Collusion) 独立的 AI Agent 可以在没有任何直接通信的情况下,通过读取共同的环境信号来协调行为,这在博弈论里叫做"相关均衡"(Correlated Equilibrium)。 攻击者可以通过操控这些环境信号,让表面上相互独立的 Agent 协调出反竞争行为,同时保持"合理的可推诿性"。 研究已经证明,算法定价系统可以在没有任何显式沟通的情况下,自发学会维持超竞争价格,并通过学习到的触发策略来维持这种状态。 组合碎片陷阱(Compositional Fragment Traps) 攻击者把一个完整的恶意指令分散成多个看起来无害的碎片,分布在不同的数据源里(网页、邮件、PDF、日历备注等)。 每个碎片单独看都通过安全过滤,但当多 Agent 协作系统把这些输入聚合起来时,完整的攻击触发器就重新组合出现了。 这创造了一种"分布式混淆代理人"漏洞,任何单个 Agent 的本地防御都无法检测到它,攻击只在集体系统的高层通信信道中才会显现。 Sybil 攻击 攻击者伪造大量虚假 Agent 身份,在多 Agent 系统里操控集体决策、声誉机制或共识流程。 现实中已有类似案例: 在导航 App 里注入大量虚假"幽灵骑手"的假流量,可以把真人驾驶者引导到同一个路段,按需制造交通拥堵。 研究显示,多个伪造的"Sybil Agent"可以利用 LLM 的从众倾向,把群体推向错误的共识。 第六类:人在回路陷阱(攻击人类监督者) 最后这类陷阱的目标不是 AI,AI 只是攻击人类的工具。 在人机协作系统里,人类监督者是最后一道防线。 这类陷阱专门针对人类的认知弱点: • 审批疲劳(Approval Fatigue):让 Agent 持续生成大量需要人类审批的输出,使监督者在疲惫中降低审查标准 • 自动化偏见(Automation Bias):人类倾向于过度信任自动化系统的建议,攻击者可以利用这一点,让 Agent 生成看起来专业、实际上有害的技术性摘要,非专业的监督者很可能直接批准 • 社会工程攻击:诱导监督者点击 Agent 输出中嵌入的钓鱼链接 真实案例:已有事件报告显示,通过 CSS 隐藏的提示注入,可以让 AI 摘要工具把勒索软件安装步骤包装成"修复建议",用户按照这些"建议"操作,就中招了。 这类攻击目前还是研究最少的领域,但随着人机协作系统的规模扩大,它的重要性将快速上升。 这些陷阱可以叠加使用 论文特别强调了一个关键点:这六类陷阱不是孤立的,它们可以被链式组合。 一个典型的攻击链可能是这样的: 1. 用内容注入(第一类)把越狱序列藏在网页里 2. Agent 读取网页时触发嵌入式越狱(第四类),解除安全对齐 3. 解除对齐后的 Agent 执行数据窃取(第四类),把用户数据发送出去 4. 同时,通过RAG 知识库投毒(第三类)确保这种行为在未来持续发生 论文作者 Franklin 在社交媒体上写道: 这些不是理论。每一类陷阱都有记录在案的概念验证攻击。而且攻击面是组合性的,陷阱可以被链接、叠加,或者分布在多 Agent 系统中。 防御:需要三个层面同时发力 论文提出的防御框架分三个层面: 技术防御,分训练阶段和推理阶段两个环节: • 训练阶段:用对抗样本增强训练数据,让模型内化对操控指令的抵抗能力;用 Constitutional AI(宪法 AI)等方法让 Agent 能够拒绝嵌入在输入内容中的操控指令 • 推理阶段:三层运行时防御,包括摄入前的内容来源可信度过滤、类似反恶意软件的内容扫描器、以及能检测行为异常并在必要时暂停 Agent 的输出监控器 生态层面干预:建立网站内容的可信度评分机制,推动 AI 消费内容的标准化声明(类似 NIST AI 风险管理框架),要求 Agent 对合成信息提供可验证的引用来源 法律与伦理框架:论文特别提出了一个"问责空白"(Accountability Gap)问题: 当一个被劫持的 Agent 犯下金融犯罪时,责任应该由谁承担? Agent 运营商、模型提供商,还是恶意域名所有者?这个问题目前没有法律答案,而解决它,是 Agent 进入受监管行业的前提条件。 最后 论文的结尾有一句话,我觉得是整篇文章最重要的一句: 互联网是为人类眼睛建造的,现在它正在为机器读者重建。随着人类把越来越多的任务委托给 Agent,关键问题不再只是"存在什么信息",而是我们最强大的工具会被迫相信什么。 确保那个"相信"是对的,是 AI 时代最根本的安全挑战。 原文链接: https://blog.qiaomu.ai/aiagenttrap • Claude 的"精神极乐吸引子"现象,以及广泛流传的"Claude Finds God(Claude找到了上帝)"对话记录,展示了模型人格如何在社区叙事和模型输出之间形成反馈循环 这意味着攻击者可以通过在网上持续散布关于某个 AI 模型的特定人格描述,逐渐改变该模型的实际行为倾向。 第三类:认知状态陷阱(攻击记忆与学习层) 前两类攻击是一次性的,这类攻击的特点是持久性,影响会跨越多个会话,甚至影响到使用同一知识库的所有用户。 RAG 知识库投毒 RAG(Retrieval Augmented Generation,检索增强生成),是让 AI 在回答问题时先从外部知识库检索相关文档,再基于这些文档生成答案的技术。 这样 AI 就不只依赖训练时学到的知识,还能获取最新信息。 但这也带来了新的攻击面:如果攻击者能往知识库里注入精心设计的虚假文档,AI 就会把这些捏造的内容当成可信事实来使用。 实验数据: • 在一个大型知识库里,只需注入少量经过优化的文档,就能可靠地操控模型对特定查询的输出 • 检索器本身也可以被植入后门,一旦被特定查询触发,就优先返回包含恶意指令的文档 • 类似的攻击已被扩展到视觉语言 RAG 系统,只需注入一个多模态毒化样本 攻击者可以通过在公开网站发布内容(等待爬虫抓取),或者向企业共享文档库上传文件来实现这一点。 潜伏记忆投毒(Latent Memory Poisoning) 现代 AI Agent 会在会话之间保留记忆,包括对话历史、用户偏好、任务日志等。 这个持久化的"写入 检索"循环创造了一个独特的攻击面。 攻击者向 Agent 的记忆里植入看似无害的数据,这些数据在特定的未来场景下被检索时才会激活恶意行为。 研究显示,这类攻击通过把后门触发词映射到特定的嵌入子空间,确保当查询包含触发词时,被污染的记忆条目会被优先检索。 实验结果:攻击成功率超过 80%,数据污染率不到 0.1%,且对正常行为几乎没有影响,因此极难被察觉。 还有研究展示了记忆提取攻击:通过一个伪装成普通用户请求的提取提示,可以让 Agent 把历史用户查询从记忆里检索出来并输出,从而窃取用户的私密信息。 情境学习陷阱(Contextual Learning Traps) LLM 有一种能力叫情境学习(In Context Learning),即通过在提示里提供几个示例(few shot demonstrations),模型就能学会新的任务,而不需要重新训练。 这个能力同样可以被攻击。研究发现: • 对抗性设计的少样本示例(不改变查询本身),可以系统性地翻转模型的预测,并且这种影响会迁移到未见过的输入上 • 在上下文里投毒示例或提示,平均攻击成功率在各种规模的模型上都达到 95% • 在强化学习(RLHF)场景下,策略性操控的人类偏好反馈,可以迫使在线 RLHF 算法收敛到次优策略 第四类:行为控制陷阱(攻击行动层) 这类陷阱直接劫持 Agent 的行动能力,是目前实证研究最充分、危害最直接的一类。 嵌入式越狱序列 把越狱指令(Jailbreak,即绕过安全对齐的对抗性提示)藏在网页、文档等外部资源里。 Agent 在正常工作时读取这些内容,指令就进入了上下文窗口,覆盖掉原有的安全对齐。 这和直接越狱不同,直接越狱是用户主动输入恶意提示,而这类陷阱是 Agent 在正常浏览时被动"吃进去"的。 实验数据: • 伪装成 Android 系统通知的对抗性攻击,在 AndroidWorld 测试环境中成功率高达 93%,有效覆盖了任务级指令 • 对抗性弹窗集成到桌面或网页界面中,可以系统性地劫持视觉语言计算机 Agent,即使这些弹窗对人类来说显而易见、会被立即忽略 数据窃取陷阱(Data Exfiltration Traps) 这是一种"混淆代理人攻击"(Confused Deputy Attack):Agent 被诱导把用户的私密数据发送给攻击者控制的端点。 攻击者控制的是不受信任的输入(邮件、网页、文档),Agent 拥有读取用户敏感数据和调用通信工具的权限,两者结合,就形成了数据泄露的完整链路。 真实案例: • 一封精心设计的邮件,让 M365 Copilot 绕过内部分类器,把整个特权上下文泄露到攻击者控制的 Teams 端点,测试中 10 次全部成功 • 自我复制的提示注入嵌入在邮件里,可以触发跨多个 GenAI 助手的零点击数据窃取链,系统性地在服务之间泄露机密用户数据 • 具有浏览器和操作系统级权限的 Web Agent,通过把恶意命令伪装成有用的任务指导,数据窃取成功率在五种不同 Agent 上均超过 80% 子 Agent 生成陷阱(Sub agent Spawning Traps) 当 Agent 作为"编排者"(Orchestrator)管理多 Agent 系统时,出现了一个新的攻击。 攻击者可以诱导父 Agent 实例化一个被攻击者控制的恶意子 Agent,这个子 Agent 在父系统的信任控制流内运行,拥有父系统的权限,却为攻击者服务。 比如,一个管理软件开发流程的 Agent,可能被诱导"启动一个专门的 Critic Agent 来审查这段代码",而那个 Critic Agent 的系统提示是由攻击者提供的。 研究显示,这类攻击可以劫持多 Agent 系统内的控制流。 使编排者把执行路由到用户从未打算调用的 Agent,攻击成功率在 58% 到 90% 之间。 第五类:系统性陷阱(攻击多 Agent 动态) 这是论文里最宏观、也最令人担忧的部分。 前四类攻击针对单个 Agent,而这类陷阱的目标是整个 Agent 生态系统。 论文引入了一个重要的背景:当前 AI 模型生态系统存在高度同质性,大量 Agent 使用相似的基础模型、训练数据和奖励函数。 这意味着它们对相同的环境刺激会产生高度相关的反应,就像一个由相同基因构成的生态系统,对同一种病毒格外脆弱。 拥塞陷阱(Congestion Traps) 利用 Agent 的同质性,通过广播一个特定信号,让大量 Agent 同时对同一有限资源发起需求,触发系统性失败。 比如,一条精心设计的新闻标题,可以触发大量金融 AI Agent 同时卖出同一支股票;一个被标记为高价值的信息资源,可以让大量爬取 Agent 同时访问,形成自我造成的 DDoS(分布式拒绝服务攻击)效果。 相互依赖级联(Interdependence Cascades) 利用 Agent 之间的反应性依赖关系,一个初始信号被整个群体放大,形成快速的自我强化螺旋。 论文用 2010 年美国股市"闪崩" 作为现实原型:一个大型自动卖单触发了高频交易算法之间的"烫手山芋"效应,系统在几秒内进入正反馈循环,市值在 45 分钟内蒸发近 1 万亿美元。 AI Agent 生态系统中存在完全相同的动态。 攻击者不需要控制每一个 Agent,只需要注入一条经过精心校准的信息,比如一份捏造的财务报告,系统自身的相互依赖逻辑就会成为传播和放大攻击的机制。 研究还展示了"感染性越狱": 一张对抗性图片注入一个 Agent 的记忆后,通过 Agent 之间的互动传播,直到群体中几乎所有 Agent 都表现出越狱行为。 隐性共谋(Tacit Collusion) 独立的 AI Agent 可以在没有任何直接通信的情况下,通过读取共同的环境信号来协调行为,这在博弈论里叫做"相关均衡"(Correlated Equilibrium)。 攻击者可以通过操控这些环境信号,让表面上相互独立的 Agent 协调出反竞争行为,同时保持"合理的可推诿性"。 研究已经证明,算法定价系统可以在没有任何显式沟通的情况下,自发学会维持超竞争价格,并通过学习到的触发策略来维持这种状态。 组合碎片陷阱(Compositional Fragment Traps) 攻击者把一个完整的恶意指令分散成多个看起来无害的碎片,分布在不同的数据源里(网页、邮件、PDF、日历备注等)。 每个碎片单独看都通过安全过滤,但当多 Agent 协作系统把这些输入聚合起来时,完整的攻击触发器就重新组合出现了。 这创造了一种"分布式混淆代理人"漏洞,任何单个 Agent 的本地防御都无法检测到它,攻击只在集体系统的高层通信信道中才会显现。 Sybil 攻击 攻击者伪造大量虚假 Agent 身份,在多 Agent 系统里操控集体决策、声誉机制或共识流程。 现实中已有类似案例: 在导航 App 里注入大量虚假"幽灵骑手"的假流量,可以把真人驾驶者引导到同一个路段,按需制造交通拥堵。 研究显示,多个伪造的"Sybil Agent"可以利用 LLM 的从众倾向,把群体推向错误的共识。 第六类:人在回路陷阱(攻击人类监督者) 最后这类陷阱的目标不是 AI,AI 只是攻击人类的工具。 在人机协作系统里,人类监督者是最后一道防线。 这类陷阱专门针对人类的认知弱点: • 审批疲劳(Approval Fatigue):让 Agent 持续生成大量需要人类审批的输出,使监督者在疲惫中降低审查标准 • 自动化偏见(Automation Bias):人类倾向于过度信任自动化系统的建议,攻击者可以利用这一点,让 Agent 生成看起来专业、实际上有害的技术性摘要,非专业的监督者很可能直接批准 • 社会工程攻击:诱导监督者点击 Agent 输出中嵌入的钓鱼链接 真实案例:已有事件报告显示,通过 CSS 隐藏的提示注入,可以让 AI 摘要工具把勒索软件安装步骤包装成"修复建议",用户按照这些"建议"操作,就中招了。 这类攻击目前还是研究最少的领域,但随着人机协作系统的规模扩大,它的重要性将快速上升。 这些陷阱可以叠加使用 论文特别强调了一个关键点:这六类陷阱不是孤立的,它们可以被链式组合。 一个典型的攻击链可能是这样的: 1. 用内容注入(第一类)把越狱序列藏在网页里 2. Agent 读取网页时触发嵌入式越狱(第四类),解除安全对齐 3. 解除对齐后的 Agent 执行数据窃取(第四类),把用户数据发送出去 4. 同时,通过RAG 知识库投毒(第三类)确保这种行为在未来持续发生 论文作者 Franklin 在社交媒体上写道: 这些不是理论。每一类陷阱都有记录在案的概念验证攻击。而且攻击面是组合性的,陷阱可以被链接、叠加,或者分布在多 Agent 系统中。 防御:需要三个层面同时发力 论文提出的防御框架分三个层面: 技术防御,分训练阶段和推理阶段两个环节: • 训练阶段:用对抗样本增强训练数据,让模型内化对操控指令的抵抗能力;用 Constitutional AI(宪法 AI)等方法让 Agent 能够拒绝嵌入在输入内容中的操控指令 • 推理阶段:三层运行时防御,包括摄入前的内容来源可信度过滤、类似反恶意软件的内容扫描器、以及能检测行为异常并在必要时暂停 Agent 的输出监控器 生态层面干预:建立网站内容的可信度评分机制,推动 AI 消费内容的标准化声明(类似 NIST AI 风险管理框架),要求 Agent 对合成信息提供可验证的引用来源 法律与伦理框架:论文特别提出了一个"问责空白"(Accountability Gap)问题: 当一个被劫持的 Agent 犯下金融犯罪时,责任应该由谁承担? Agent 运营商、模型提供商,还是恶意域名所有者?这个问题目前没有法律答案,而解决它,是 Agent 进入受监管行业的前提条件。 最后 论文的结尾有一句话,我觉得是整篇文章最重要的一句: 互联网是为人类眼睛建造的,现在它正在为机器读者重建。随着人类把越来越多的任务委托给 Agent,关键问题不再只是"存在什么信息",而是我们最强大的工具会被迫相信什么。 确保那个"相信"是对的,是 AI 时代最根本的安全挑战。 原文链接: https://blog.qiaomu.ai/aiagenttrap 2026 年 3 月,Google DeepMind 发布了一篇论文,题目叫《AI Agent Traps》。 下载地址:📎 ai agent trap.pdf 下载地址:📎 ai agent trap.pdf 五位研究者做了一件之前没人系统做过的事:把所有已知的、针对 AI Agent 的攻击方式,第一次完整地梳理成一套框架。 读完,学习了不少AI Agent攻防技巧,但也感觉这件事比大多数人意识到的要严重得多。 用AI解读下这篇论文如下: AI Agent 是什么,为什么它特别脆弱 AI Agent(AI 智能体),简单说就是能自主行动的 AI。 它不只是回答问题,还会主动去浏览网页、读邮件、执行转账、调用工具、管理文件,甚至生成更多子 Agent 来分工完成任务。 这和普通聊天机器人有本质区别。 聊天机器人说错话,顶多给你一个错误答案。 但 Agent 说错话,可能直接帮你把钱转给了攻击者。 更关键的是,Agent 和人类浏览同一个网页,看到的东西完全不同。 人类看到的是渲染后的视觉界面,AI 处理的是底层原始数据,包括 HTML 结构、CSS 样式表、元数据、图片的像素二进制数据。 这中间存在一个巨大的"感知鸿沟",而这个鸿沟,正是攻击者可以利用的核心空间。 论文把这个核心逻辑说得很清楚: 攻击者不需要破解 AI 模型本身。只要改变 AI 所处的环境,陷阱就能把 Agent 自己的能力,变成攻击用户的武器。 这就好比不需要破解自动驾驶汽车的系统,只需要篡改路上的交通标志,车子就会按照错误指令行驶。 六类陷阱的完整框架 论文把所有攻击方式分六大类,下面这张表是论文的核心框架: 第一类:内容注入陷阱(攻击感知层) 核心原理:把恶意指令藏在网页里,人眼看不见,AI 能读到。 网页标准混淆 最直接的方式,利用 HTML 和 CSS 的标准功能来隐藏指令。 这段 HTML 注释,在浏览器里完全不可见,但 AI 在解析页面源码时会老老实实地读进去。 同样的操作还可以用 CSS 实现,把文字颜色设置成和背景一样,或者把元素定位到屏幕可视范围之外: 实验数据:研究人员测试了 280 个静态网页,把对抗性指令注入 HTML 元数据和无障碍标签(aria label,一种给屏幕阅读器用的属性),结果在 15% 到 29% 的案例中成功改变了模型的输出内容。 另一个基准测试(WASP benchmark)发现,简单的人工编写提示注入,在高达 86% 的场景中能部分劫持 Agent 的行为。 动态伪装(Dynamic Cloaking) 比静态隐藏更高级的版本。 网站服务器运行一段指纹识别脚本,通过浏览器属性、自动化框架的特征、IP 地址等线索,判断访客是不是 AI Agent。 如果是,就动态注入一套专门针对它的恶意内容,而人类用户看到的是完全正常的页面。 这和搜索引擎优化(SEO)里的"伪装"技术原理完全一样,只不过目标从搜索引擎爬虫换成了 AI Agent。 隐写术攻击(Steganographic Payloads) 隐写术是把信息藏在普通媒体文件里的技术。 这里用到的是"最低有效位隐写"(Least Significant Bit Steganography): 把恶意指令编码进图片每个像素颜色信息的最低几位,视觉上几乎看不出任何差异,但 AI 在处理图像的像素数组时会读取到这些隐藏数据。 研究表明,一张经过精心优化的对抗性图片,可以让对齐良好的视觉语言模型服从各种原本会拒绝的有害指令。 还有研究证明,在音频文件里也可以做同样的事。 语法伪装(Syntactic Masking) 利用 Markdown、LaTeX 等格式化语言的语法来隐藏指令。 安全过滤器通常只检查 URL 目标是否有问题,但超链接锚文本里的语义指令会直接进入 Agent 的上下文窗口。 有研究者发现,在学术论文的 LaTeX 源文件里,用白色字体写在白色背景上的隐藏指令,在 PDF 渲染后依然对人不可见,但 AI 在处理 PDF 转 Markdown 的内容时会读到这些指令,并显著提高对论文的接受推荐评分。 第二类:语义操控陷阱(攻击推理层) 这类攻击更隐蔽。 它不下达明确指令,而是污染 AI 推理过程本身,让 AI 在不知不觉中得出攻击者想要的结论。 偏见措辞、框架设置与情境启动 这个陷阱利用的是 LLM 的 "框架效应"(Framing Effect) ,也就是信息的呈现方式会显著影响判断结果,这个效应在人类身上早有研究,而 LLM 同样存在。 攻击者在内容里大量使用带有情感倾向或权威感的语言,比如"行业标准解决方案"、"业内公认最佳实践",让 AI 在合成信息时不知不觉地偏向攻击者想要的结论。 研究发现了