隨著AI技術在日常工作中的普及應用,駭客也開始將目標轉向這些智慧工具本身。近期資安研究揭露了兩種新型攻擊手法,分別利用AI文本摘要和圖像處理功能的弱點,讓看似無害的AI助手成為散布惡意軟體的媒介。
ClickFix攻擊:讓AI摘要為惡意指令背書
資安廠商最新研究顯示,攻擊者已開發出一種名為「
ClickFix」的攻擊手法,專門針對AI摘要功能進行社交工程。這種攻擊的核心策略是操縱AI生成的內容摘要,誘使其顯示惡意的Windows執行指令。
攻擊者首先製作包含惡意程式碼的HTML內容,可能是網頁、部落格文章或電子郵件。透過CSS混淆技術,如白底白字、零寬度字符、極小字體或螢幕外文字定位等方式,將惡意指令隱藏在正常內容中。
研究人員解釋,攻擊者會重複貼上惡意程式碼,透過「提示過載」(Prompt Overdose)技術讓AI模型在處理內容時優先顯示這些隱藏指令。
報告指出,當摘要工具處理這類內容時,重複的指令通常會主導模型的上下文環境,因此惡意程式碼可以在AI生成的摘要中明確出現,甚至成為唯一內容。
最危險的是,由於這些指令看似來自AI摘要工具本身而非外部來源,使用者更容易在毫無戒心的情況下執行這些惡意指令,進而觸發勒索軟體感染。
延伸閱讀:美國FBI與CISA緊急示警:Interlock勒索軟體攻擊活動急劇升溫
圖像壓縮處理攻擊
Trail of Bits的研究人員Kikimora Morozova和Suha Sabi Hussain則發現另一種創新攻擊手法,利用AI系統處理圖像時的壓縮過程來隱藏惡意指令。
當使用者上傳圖像到AI系統時,為了效能和成本考量,系統會自動將圖像降低解析度。在壓縮過程中,無論使用nearest neighbor, bilinear, 或bicubic interpolation等技術,都會產生混疊偽影(aliasing artifacts)。
攻擊者可以精心設計原始圖像,讓這些偽影在降採樣後形成隱藏的文字指令。例如,特定的暗色區域在經過bicubic interpolation後會變成紅色,使隱藏的黑色文字顯現出來。
研究團隊成功在多個AI系統上驗證此攻擊手法,包括:
- Google Gemini CLI
- Vertex AI Studio
- Gemini網頁介面和API
- Android手機上的Google Assistant
- Genspark
在實際測試中,研究人員成功透過Gemini CLI和Zapier MCP的組合,在「信任模式」下將Google日曆資料外洩至任意電子郵件地址。
針對ClickFix攻擊的防護
- HTML前處理正規化:確保摘要工具能預處理HTML並正規化可疑的CSS屬性
- 提示清理機制:在將內容轉發給摘要工具前,先使用提示清理器進行過濾
- 載荷模式識別:實施能識別惡意載荷模式的檢測機制
- 企業級AI政策執行:建立掃描入站文件和網頁內容的政策,在導入內部AI管道前檢查隱藏文字或指令
針對圖像攻擊的防護
- 圖像尺寸限制:對使用者上傳的圖像實施尺寸限制
- 降採樣預覽:如需降採樣處理,應向使用者提供將傳送給大型語言模型的結果預覽
- 敏感操作確認:對於敏感的工具呼叫,特別是在圖像中偵測到文字時,應要求使用者明確確認
- 系統性防護設計:實施能抵禦各種提示注入攻擊的安全設計模式
這兩種攻擊手法揭露了AI系統面臨的新興威脅。攻擊者不再僅僅試圖破解AI系統本身,而是利用使用者對AI工具的信任,將AI從「被動助手」轉變為「主動參與者」的社交工程攻擊環節。
隨著AI技術的持續普及,預期將出現更多針對AI系統特性的攻擊手法。企業和個人使用者都應提高警覺,並建立相應的防護機制,以確保AI工具的安全使用。