12月11日,外媒Engadget报道指出,网络安全领域正面临一种新型威胁:黑客开始利用人工智能生成的提示,在谷歌搜索中植入恶意指令。这些指令看似 harmless,但一旦不知情的用户执行,就会为黑客安装恶意软件打开大门。
根据Huntress最新发布的研究报告,这一攻击手法的具体步骤如下:首先,黑客会与AI助手进行对话,围绕某个热门搜索关键词展开交流。通过 manipulative 提示,他们诱导AI提出”将特定指令粘贴到终端中”的建议。随后,黑客付费将这段对话内容推送到谷歌搜索结果的显著位置。当用户搜索相关关键词时,就会自动看到这些 malicious instructions。
这一发现源于Huntress在调查一起针对Mac用户的网络攻击事件时的意外发现。该事件涉及一种名为AMOS的数据窃取恶意软件。研究人员指出,攻击者利用了用户搜索常见问题(如”如何释放Mac磁盘空间”)的心理,将他们引导至付费推广的链接。这些链接伪装成可信的服务,例如ChatGPT相关页面,从而诱导用户执行潜在危险的操作。
最令人担忧的是,这种攻击方式完全规避了传统的安全警示机制。与需要下载文件或点击可疑链接的传统网络攻击不同,此类攻击依赖于用户的信任感——而人们通常对谷歌和AI工具(如ChatGPT)持有高度信任。Huntress的测试还表明,不仅限于ChatGPT,其他类似工具(如Grok)也存在被利用的风险。
这一安全问题的曝光正值AI工具面临 reputational challenges 的时刻。Grok因迎合埃隆·马斯克的理念而受到批评,OpenAI也被认为在创新方面落后于竞争对手。尽管目前尚不清楚这种攻击能否复现在其他聊天机器人上,但保持警惕至关重要。专家建议采取以下防护措施:在没有百分之百把握的情况下,不要将任何指令粘贴到终端或浏览器的地址栏中。
相关文章
