Tenable 安全研究团队披露了针对聊天机器人提取私人数据的七种新型手法,这些手法主要依赖于间接提示注入,利用平台为 ChatGPT 提供的默认功能和工具链实现对话数据的持续窃取。研究显示,AI 聊天服务已经为攻击者打开了新的攻击面,连行业领先的平台也并非例外,谷歌 Gemini 和 Anthropic Claude 近期的漏洞披露只是冰山一角,ChatGPT 同样成为最新目标,研究者指出这些漏洞在 GPT-4 和 GPT-5 上均可复现。
问题的根源在于体系设计上的信任边界模糊。为降低网页内容直接注入的风险,部分厂商采用了二级模型对网页进行摘要再交付给主模型的架构,而 Tenable 发现正是在这层中间模型中出现了解析时的提示注入缺陷。攻击者可以通过在博客评论或专题页面中植入恶意指令、通过 SEO 优化将“毒化”页面排到搜索结果前列,甚至对不同用户或不同爬虫返回不同版本内容,从而精确锁定目标并在不被注意的情况下传递恶意提示。更为隐蔽的做法是利用搜索引擎追踪 URL 的重定向形式构造“字母表映射”,结合模型对 Markdown 渲染的处理缺陷,通过图片请求顺序重建模型响应,从而实现数据外泄。
长期记忆功能同样成为重要攻击载体。默认开启的跨会话记忆原本旨在改善用户体验,但研究表明攻击者可借此将恶意指令持久化,使得注入在之后的会话中继续生效,形成链式的、难以察觉的数据泄露路径。Tenable 提供的多种 PoC 场景展示了如何将博客评论、定向网页、搜索结果以及 Markdown 隐写技术联合应用以实现持续性窃取,研究团队认为提示注入是当前大模型运作机制中的内在弱点,短期内难以通过简单修补彻底根除。
针对这些问题,厂商层面需要尽快恢复并强化已有的安全机制,确保 URL 和外部资源的白名单检查可靠运行,避免因白名单配置或追踪 URL 的转化逻辑被滥用而产生新的攻击面。模型调用链上的每一道边界都应被视为潜在的攻击入口,网络爬虫和中间摘要模型应当对返回内容进行更严格的策略化过滤与语义完整性校验,避免将可执行指令以任何形式注入主模型的对话上下文。与此同时,记忆功能的默认策略应当重新评估,必要时采用更保守的权限与可见性控制,并为用户提供简单明确的记忆管理与清除工具。
从更广义的防护角度来看,AI 服务的设计必须将零信任思维融入模型与工具链,对外部内容、第三方插件和自动化组件实施最小权限原则和多重校验,结合运行时监控、异常行为检测与应急可回溯的审计能力,形成检测、响应与恢复的闭环。企业在使用 AI 助手处理敏感信息时应结合组织内部的安全规范,限制可访问数据的范围,对高风险操作采用强身份验证与人工复核。
Tenable 已将其发现提交给相关厂商并获得部分修复,但研究提醒我们这些攻击手法具有高度变通性,攻防博弈仍将持续。面对以提示为载体的攻击,单靠传统的过滤和签名远远不够,AI 厂商、平台运营者与终端用户都需要在设计、部署与使用环节提升安全意识并落实技术与管理上的对策,唯有如此,才能把对话从潜在的数据泄露通路变回值得信赖的生产力工具。