Google DeepMind 发布 AI 代理攻击分类框架:六种攻击类型,成功率最高达 90%

Google DeepMind 最新研究论文《AI Agent Traps》系统归类了六种针对自主 AI 代理的攻击类型,其中隐藏提示注入攻击成功率高达 86%,子代理劫持成功率在 58% 至 90% 之间。该研究为 AI 安全领域首份系统性攻击分类指南。

Google DeepMind 刚刚发布了一份堪称 AI 代理攻击“实战手册”的研究论文《AI Agent Traps》。该论文以 SSRN 预印本形式发布,首次系统性地将恶意行为者操控自主 AI 代理的方式归纳为六种攻击类型,部分攻击在测试中成功率高达 86%,令那些正在部署此类工具的人寝食难安。

分类包括:内容注入陷阱、语义操控、认知状态与记忆投毒、行为控制、系统性及多代理攻击、以及人在回路陷阱。每种攻击类型针对 AI 代理运作周期的不同阶段,从信息感知到推理、记忆乃至最终行动。

内容注入陷阱最为直接且令人警惕:网站等环境可以嵌入恶意内容,AI 代理在不知情的情况下处理这些内容。手法包括隐藏 HTML 注释、白底白字文本(人类不可见但机器可读)、隐写术以及被篡改的图像像素。其中,隐藏提示注入在测试中成功接管 AI 代理的概率达 86%;子代理劫持(攻击者控制更大框架内的从属 AI 系统)的成功率则在 58% 至 90% 之间。

语义操控针对推理层:攻击者不是注入隐藏指令,而是扭曲合法内容的含义,引导代理得出错误结论或采取有害行动。记忆投毒更为深层:AI 代理跨会话保持持久记忆以提升性能,攻击者若破坏该记忆,将不仅影响单次交互,更可能改变代理未来的所有决策。行为控制攻击操纵代理的动作选择机制。系统性及多代理攻击利用多个 AI 系统协同工作时的交互漏洞。人在回路陷阱则专门针对 AI 代理将决策转交给人类操作员的时刻,利用人机信任边界进行攻击。

研究团队包括 Matija Franklin、Nenad Tomasev、Julian Jacobs、Joel Z. Leibo 和 Simon Osindero。他们指出一个简单现实:AI 代理正迅速获得网页浏览、电子邮件和交易能力,每一项新能力都意味着新的攻击面。当 AI 代理能够发送邮件、购物或执行代码时,一次成功的攻击不只是社交网络上的搞笑截图,而是潜在的财务损失、数据泄露甚至更严重的事故。

提示注入自大语言模型开始与外部数据交互以来就是已知漏洞,但 DeepMind 的分类框架将这一讨论从个别攻击提升至涵盖所有威胁的结构化体系。对于投资者和 AI 行业而言,AI 代理正越来越多地集成到 DeFi 协议、交易系统和区块链应用中。一个管理 DeFi 投资组合的 AI 代理若被内容注入攻击劫持,不再是理论担忧,而已成为一种量化风险——在受控条件下成功率高达 86%。随着企业消化针对子代理攻击成功率 58% 至 90% 的影响,对防御工具、红队服务以及加固代理框架的需求将日益增长。

(本快讯由 BlockWeeks 编译整理自公开信息)

免责声明:本文提供的信息不是交易建议。BlockWeeks.com不对根据本文提供的信息所做的任何投资承担责任。我们强烈建议在做出任何投资决策之前进行独立研究或咨询合格的专业人士。

(0)
区块链小猫的头像区块链小猫作者
上一篇 3小时前
下一篇 2小时前

相关推荐

发表回复

登录后才能评论
分享本页
返回顶部