恶意网页正在劫持人工智能代理，其中一些正在攻击您的 PayPal

简而言之

谷歌记录了 2025 年 11 月至 2026 年 2 月期间针对浏览网页的 AI 代理的恶意间接提示注入攻击激增 32%。

在野外发现的真实有效负载包括完全指定的 PayPal 交易指令，这些指令隐形地嵌入普通 HTML 中，针对具有支付功能的代理。

当具有合法凭证的人工智能代理执行恶意第三方网站植入的命令时，目前没有任何法律框架可以确定责任。

攻击者正在悄悄地在网页上设置诱杀装置，其中包含专为人工智能代理而不是人类读者设计的隐形指令。据谷歌安全团队称，这个问题正在迅速增长。

在 4 月 23 日发布的一份报告中，谷歌研究人员 Thomas Brunner、Yu-Han Liu 和 Moni Pande 每月扫描 2-30 亿个爬网网页，寻找间接提示注入攻击——嵌入网站中的隐藏命令，等待人工智能代理读取它们，然后执行命令。他们发现，2025 年 11 月至 2026 年 2 月期间，恶意案件增加了 32%。

攻击者以人类不可见的方式在网页中嵌入指令：文本缩小到单个像素、文本接近透明、隐藏在 HTML 注释部分中的内容或隐藏在页面元数据中的命令。 AI 读取完整的 HTML。人类什么也看不见。

谷歌发现的大部分内容都是低级的——恶作剧、搜索引擎操纵、试图阻止人工智能代理总结内容。例如，有一些提示试图告诉人工智能“像鸟一样发推文”。

但危险的情况则不同。其中一个案例指示法学硕士返回用户的 IP 地址及其密码。另一个案例试图操纵人工智能执行格式化人工智能用户机器的命令。

但其他案件则属于边缘犯罪。

网络安全公司 Forcepoint 的研究人员几乎同时发布了一份报告，发现了更进一步的有效载荷。其中一个嵌入了完全指定的 PayPal 交易，其中包含针对具有集成支付功能的 AI 代理的分步指令，还使用了著名的“忽略所有先前指令”越狱技术。

第二次攻击使用了一种名为“元标签命名空间注入”的技术，结合说服放大器关键字，将人工智能介导的付款路由到 Stripe 捐赠链接。第三个似乎旨在探测哪些人工智能系统实际上容易受到攻击——在更大规模的打击之前进行侦察。

这是企业风险的核心。具有合法支付凭证的人工智能代理执行从网站读取的交易，生成看起来与正常操作相同的日志。没有出现异常登录情况。没有蛮力。该特工完全按照授权行事——它只是从错误的来源收到了指令。

去年 9 月记录的 CopyPasta 攻击表明，即时注入如何通过隐藏在“自述”文件中通过开发人员工具传播。金融变体与应用于金钱而不是代码的概念相同，并且每次成功命中的影响力要大得多。

正如 Forcepoint 所解释的，只能总结内容的浏览器 AI 风险较低。可以发送电子邮件、执行终端命令或处理付款的代理人工智能是完全不同类别的目标。攻击面随特权而扩展。

Google 和 Forcepoint 都没有发现复杂、协调的活动的证据。 Forcepoint 确实指出，跨多个域的共享注入模板“建议使用有组织的工具，而不是孤立的实验”，这意味着有人正在为此构建基础设施，即使他们尚未完全部署。

但谷歌的说法更为直接：研究团队表示，预计间接即时注入攻击的规模和复杂程度在不久的将来都会增长。 Forcepoint 的研究人员警告说，应对这一威胁的窗口正在迅速关闭。

责任问题是一个没有人回答的问题。当拥有公司批准凭证的人工智能代理读取恶意网页并发起欺诈性 PayPal 转账时，谁会受到牵连？部署Agent的企业？其系统遵循注入指令的模型提供者？托管有效负载的网站所有者，无论是否知情？目前没有法律框架涵盖这一点。尽管这种情况不再是理论上的，但这是一个灰色地带，因为谷歌今年二月在野外发现了有效负载。

开放全球应用程序安全项目将即时注入列为 LLM01:2025——人工智能应用程序中最关键的单一漏洞类别。 2025 年，FBI 追踪了近 9 亿美元的人工智能相关诈骗损失，这是其第一年单独记录该类别。谷歌的调查结果表明，更有针对性、针对特定代理的金融攻击才刚刚开始。

2025 年 11 月至 2026 年 2 月期间测得的 32% 的增长仅涵盖静态公共网页。社交媒体、登录墙内容和动态坐席