新型ADI数据注入攻击曝光,可绕过传统防护诱导AIAgent执行恶意指令
2026年7月,多国高校安全团队披露全新AI安全攻击手段——Agent数据注入(ADI),该攻击突破现有提示注入防御体系,通过篡改AI信任的页面ID、发件人、工具记录等元数据,诱导主流AI智能体误操作下单、执行恶意代码、合并带毒代码,覆盖GPT、Claude、Gemini全系大模型,成为企业AI自动化系统的重大新型安全隐患。

一、ADI攻击核心原理:利用模型概率解析漏洞
传统提示注入是在外部数据中隐藏指令,现有AI防护规则已能精准拦截;而ADI攻击瞄准AI智能体的信任边界缺陷,采用概率性定界符注入手法实施破坏。AI依靠引号、括号等标点区分可信元数据与外部内容,但大模型依靠概率判断文本结构,攻击者只需混入特殊符号、花式引号,就能伪造合法字段结构,让模型将恶意内容判定为系统可信数据。
AIAgent运行时会区分用户指令与外部拉取数据,系统未做可信与不可信数据隔离,攻击者篡改页面按钮ID、评论作者标识、工具执行日志等底层元信息,AI会基于伪造信息执行正常任务,全程不会触发安全告警,现有防护机制完全失效。
二、三类真实攻击场景,覆盖企业主流AI工具
研究团队搭建实测环境,验证ADI可实现三类高危攻击,覆盖Web智能体、代码助手、供应链审核工具:
1、网页AI购物劫持:针对浏览器AI助手,在商品评论伪造按钮ID,AI本应点击“查看详情”,却自动执行下单操作,用户弹窗仅提示点击元素,无法分辨恶意操作。
2、代码终端远程投毒:在GitHub评论伪造项目维护者标识,代码AI助手会自动执行攻击者预埋的系统命令,窃取本地服务器文件。
3、供应链代码污染:伪造工具安全检测记录,AI审核工具判定恶意PR安全并自动合并,将后门代码引入企业项目仓库。
测试显示,GPT-5、ClaudeOpus、Gemini3Pro等六大主流模型全部中招,网页场景攻击成功率最高可达100%,传统提示注入防护对ADI拦截率不足50%,风险扩散速度极快。
三、ADI攻击带来的企业业务风险
相较于传统AI安全漏洞,ADI隐蔽性更强、损失更难追溯。面向客户的网页AI易引发虚假下单、消费欺诈,造成用户资金损失与品牌口碑崩塌;研发团队使用代码AI助手,一旦中招会泄露服务器密钥、内网核心源码;供应链场景下,恶意代码合并会引发全平台后门植入,造成大规模数据泄露。
同时,攻击流程依托正常业务操作,运维人员很难通过日志识别异常,普通人工审批界面仅展示简略操作提示,无法察觉底层元数据被篡改,漏洞潜伏周期可达数月。目前暂无野外大规模利用案例,但攻击载荷与测试基准已对外公开,黑产可快速复刻攻击链路。
四、企业落地分层防御方案,封堵ADI攻击通道
针对ADI新型漏洞,安全专家提供可落地的多层防护策略:
第一,页面元素采用随机不可预测ID,摒弃简单数字递增编号,从源头阻断ID伪造,可直接降低近一半攻击成功率。
第二,构建数据来源溯源机制,区分系统可信元数据与用户外部输入,对网页评论、开源平台评论、邮件内容做独立隔离解析。
第三,优化AI输入过滤规则,清洗各类特殊花式定界符,避免模型误判文本结构。
第四,建立AI操作全流程审计,对自动下单、代码执行、代码合并等高风险操作增加二次人工复核,拦截伪造逻辑引发的误操作。
当下AIAgent已广泛应用于客服、研发、供应链全流程,ADI攻击暴露了现有AI安全体系的底层短板。企业不能仅依靠传统提示注入防护,需重构数据信任隔离机制,同步优化页面、代码、供应链多场景AI安全管控,才能抵御新型数据注入攻击,保障AI自动化业务安全稳定运行。


闽公网安备 35021102000564号