Prismata:限制 Web 代理中的跨站点提示注入

来自学术预印本的一项新研究提出了 Prismata——一个专门用于防止 Web 代理在跨站点操作时被提示注入攻击的方法。该研究目前处于理论验证阶段,但直接指向 AI 代理安全中一个尚未被充分防御的漏洞。

Prismata:限制 Web 代理中的跨站点提示注入

一句话看懂:来自学术预印本的一项新研究提出了 Prismata——一个专门用于防止 Web 代理在跨站点操作时被提示注入攻击的方法。该研究目前处于理论验证阶段,但直接指向 AI 代理安全中一个尚未被充分防御的漏洞。

事件核心:发生了什么

研究团队在 arxiv 上发表了一篇名为《Prismata:Confining cross-site prompt injection in web agents》的论文。所谓“跨站点提示注入”,是指攻击者通过在一个网站中埋藏恶意指令,当 AI 代理(如基于大语言模型的自动化浏览器或爬虫)访问并执行该网站上的任务时,这些隐藏指令会劫持代理的上下文,导致其执行非预期的敏感操作或泄露信息。Prismata 提出的应对思路是构建一个“约束层”,在代理执行跨站点操作时动态检查指令来源与执行权限,将提示注入的影响限制在特定站点范围内。

为什么重要

随着 GPT-4、Claude 等大模型能力嵌入到自动化工具与 Web 代理中(例如自动填表、跨平台预约、信息聚合类应用),提示注入已经从“让聊天机器人说奇怪的话”升级为真正的安全威胁。如果代理本身没有对指令来源做隔离,攻击者只需要在一个公开网页里嵌入一条指令,就能让代理在另一个已登录的敏感站点执行操作。Prismata 的价值在于,它尝试从系统架构层面解决这个问题,而非依赖 LLM 本身的过滤能力。这是目前业界普遍面对但尚未标准化的问题,Prismata 提供了一个可工程化的约束模型。

对用户/开发者/创作者的影响

对开发者而言,如果你在构建基于 LLM 的自动化浏览器、RPA 或跨平台 AI Agent,本项研究提示你需要在设计流程中加入“站点域隔离”机制,而不是简单地把所有上下文放入一个提示中。对于普通用户,目前影响有限,但随着更多 AI 代理应用落地(例如自动化购物、跨平台同步),此问题的防御效果将直接决定你是否敢让代理同时登录银行与外部工具。对于安全研究者与大模型产品团队,Prismata 的方法提供了可参考的审计视角——如果你在运营一个可自动执行 Web 操作的平台,建议关注该论文的防御原理。

GamsGo AI

AI 工具推荐

想把多个 AI 模型放在一个入口?

GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。

了解 GamsGo AI

推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。

值得关注的后续

目前公开信息显示,Prismata 仍为学术研究阶段,尚未有公开的产品实现或行业标准。值得观察的点包括:1)该方案是否会被主流代理框架(如 LangChain、Playwright 生态)采纳为安全插件;2)是否会有实际漏洞演示验证该模型的边界;3)大模型 API 提供商(如 OpenAI、Anthropic)是否会推出类似输出的沙箱机制来配合此类防御。

来源:hackernews

celebrityanime
celebrityanime
文章: 12421

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注