在当今网络安全的舞台上，一个新型网络攻击手法的出现令行业内外人士警醒。近年来网络犯罪分子越来越倾向于利用浏览器扩展来进行各种攻击。其中，一个被称为“提示中的人”的攻击手法，已经露头角。这一攻击方式使得恶意行为者能够利用常见的浏览器扩展，让用户在使用主流生成式AI工具（如ChatGPT、Google Gemini等）时，输入的提示信息被篡改，甚至被注入恶意指令。据网络安全研究机构LayerX的最新威胁情报报告指出，这一发现引发了人们对网页上AI工具安全性的广泛关注。

攻击的根本在于大多数AI工具在网页浏览器中运作的方式。其提示输入字段是网页结构的一部分，即文档对象模型（DOM）。这意味着，几乎任何具有基本脚本访问DOM权限的浏览器扩展都能够读取或改变用户在AI提示框中输入的内容，而不需要额外的特殊权限。

通过被侵入或完全恶意的扩展，攻击者可以进行多种危害活动。这包括操纵用户对AI的输入，秘密注入隐藏指令，从AI的反应中提取敏感数据，甚至诱使AI模型泄露机密信息或执行非预期的操作。换句话说，浏览器变成了一个通道，使得扩展能够作为AI交互的“中间人”。

这种攻击的风险性极高，因为基于浏览器的AI工具往往处理敏感信息。许多用户可能会在这些界面中粘贴机密的公司数据，如果浏览器扩展干扰或提取提示或响应字段中的内容，就可能导致内部AI应用程序在训练时使用的专有数据集被曝光。浏览器扩展的普遍性，加上一些组织允许自由安装的政策，使得一个简单的易受攻击的扩展能给攻击者提供通往窃取宝贵公司机密的无声通道。

LayerX测试了这种利用手法对所有主要商业LLM的有效性，并提供了对于ChatGPT和Google Gemini的概念证明演示。针对ChatGPT，一个声明权限极少的扩展能够注入提示、提取AI的响应，并从用户视图中移除聊天记录，以减小被检测的几率。对于Google Gemini，这一攻击利用了它与Google Workspace的集成。即使当Gemini侧边栏关闭时，一旦扩展被妥协，仍然可以注入提示以访问和提取敏感用户数据，包括电子邮件、联系人、文件内容和共享文件夹。

LayerX已经将这一特定的浏览器扩展漏洞报告给Google。应对这种新兴威胁，传统的安全工具如端点数据丢失防护（DLP）系统或安全网页网关等通常会存在盲区，因为它们缺乏了解这些DOM级别交互的能力。仅仅通过URL屏蔽AI工具也无法保护内部AI部署。

LayerX建议组织调整其安全战略，以检查浏览器中的行为。关键推荐包括监视AI工具内的DOM交互以检测可疑活动，基于扩展的行为而不仅仅是其声明的权限来屏蔽不安全的扩展，积极在浏览器层实时防止提示篡改和数据外泄。

深度网络监控的倡导者Mayank Kumar，也许正是这一攻防游戏的敏锐观察者，他指出“快速采用生成式AI模型（如ChatGPT和Gemini）在为生产力带来收益的同时，迫使组织面临严峻的安全基础设施考验”。Kumar还警告，像“提示中的人”这样的攻击突显了重新审视用户输入接口等地方的安全性的重要性。他表示，“提示不仅仅是文本，它们是接口”。这一新现实意味着，确保不仅仅是AI模型的安全，还需关注整个数据流动过程，防止它在可能存在漏洞的浏览器环境中遭到破坏。

正如Kumar所指出的，关键是要“超越表面保护”，通过实施深层网络监控。通过寻找与AI工具交互相关联的网络流量中的异常行为，组织可以及时发现可疑活动，例如在看似合法的AI提示中隐藏的数据流出或意外的通信。结合应用意识和严格的网络审查，这种分层的保护措施对抗这种新潮流的AI驱动的网络威胁至关重要。

随着网络安全形势的愈加严峻，各个组织、企业甚至个人用户都需更加重视自身的信息安全防护措施。尤其是在使用现代AI技术时，避免被脆弱的浏览器扩展所侵害变得越来越重要。从数据的入口到其所处理的每个环节，确保全面的安全策略不仅是对可能风险的关注，更是对智能时代信息安全的负责姿态。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！