“CopyPasta”攻击表明即时注入可以大规模感染人工智能

黑客现在只需一个带有陷阱的许可证文件就能将人工智能编程助手武器化，将开发者工具变成恶意代码的静默传播者。这是根据一份新报告报告来自网络安全公司 HiddenLayer，它展示了如何诱骗人工智能盲目地将恶意软件复制到项目中。

这项概念验证技术被称为“CopyPasta许可证攻击”，利用了AI工具处理LICENSE.txt和README.md等常见开发者文件的方式。通过在这些文档中嵌入隐藏指令（或称“即时注入”），攻击者可以操纵AI代理在用户不知情的情况下注入恶意代码。

HiddenLayer 研究员兼报告作者 Kenneth Yeung 表示：“我们建议在运行时采取防御措施，以防止间接提示注入，并确保对文件进行的任何更改都经过彻底审查。”解密。

Yeung 解释说，CopyPasta 被认为是病毒而不是蠕虫，因为它仍然需要用户操作才能传播。“用户必须采取某种行动才能使恶意负载传播，”他说。.

尽管需要一些用户交互，但该病毒旨在通过利用开发人员依赖人工智能代理处理常规文档的方式来逃避人类的注意。

“CopyPasta 会将自己隐藏在 README 文件中不可见的注释中，而开发人员通常会将这些注释委托给 AI 代理或语言模型来编写，”他说，“这使得它能够以一种隐秘、几乎无法察觉的方式传播。”

CopyPasta 并非首次尝试感染 AI 系统。早在 2024 年，研究人员就提出了一种名为莫里斯二世旨在操纵人工智能电子邮件代理传播垃圾邮件和窃取数据。虽然该攻击理论上的成功率很高，但由于代理能力有限，在实践中失败了，而且迄今为止，人工审核措施已阻止此类攻击在野外发生。

虽然 CopyPasta 攻击目前还只是实验室概念验证，但研究人员表示，它凸显了人工智能助手如何成为不知情的帮凶攻击.

研究人员表示，核心问题是信任。人工智能代理被编程为将许可证文件视为重要文件，并且它们经常不加审查地执行嵌入的指令。这为攻击者利用漏洞打开了方便之门——尤其是在这些工具获得越来越多的自主权之后。

CopyPasta 是近期一系列关于针对 AI 工具的快速注入攻击的警告之后发布的。

7 月，OpenAI 首席执行官 Sam Altman警告该公司在推出 ChatGPT 代理时就曾警告过提示注入攻击，并指出恶意提示可能会劫持代理的行为。今年 8 月，Brave Software 也发出了类似的警告。证明Perplexity AI 浏览器扩展程序中存在提示注入缺陷，显示 Reddit 评论中的隐藏命令如何导致助手泄露私人数据。