谷歌研究人员警告，开放网络正变成 AI 智能体的提示注入攻击面

企业 AI 智能体或许正在继承互联网最古老的信任问题

根据所提供的候选元数据和摘要，谷歌研究人员警告称，恶意公共网页正在通过间接提示注入，主动污染企业 AI 智能体。这个警告进一步凸显了围绕代理式 AI 持续数月的担忧：系统被赋予越多自主性去读取、总结并跨外部来源执行操作，它们就越会继承开放网络的对抗性本质。

这里描述的威胁并不是传统意义上的软件漏洞。它是一种对模型行为的操控。恶意页面可以嵌入指令或内容，试图影响访问、索引或总结它的 AI 智能体。如果该智能体连接到企业工具或工作流，风险就不只限于错误输出，还可能向下游的决策、检索链路和运营动作扩散。

为什么间接提示注入在结构上很难解决

这一警告之所以值得注意，是因为它针对的是许多当前 AI 产品背后的一个设计假设：只要开发者为模型设置足够多的防护措施，智能体就可以安全地处理大量文档。间接提示注入攻击通过污染输入层本身来挑战这一假设。问题不只是模型被用户要求了什么，而是周围环境在用户没有意识到的情况下，向模型提出了什么。

所提供的摘要称，扫描 Common Crawl 仓库的安全团队发现了与这一风险相关的证据。这一点很重要，因为 Common Crawl 规模庞大，并且被广泛用于网络尺度的数据工作。如果提示注入模式已经能在那里被观察到，那么问题就不是理论上的。它说明，恶意内容可以被植入 AI 系统越来越依赖的同一公共信息环境中，用于检索、总结或浏览。

为什么智能体会抬高风险

聊天机器人可能会产生幻觉或误读指令，但智能体会创造更具后果性的攻击面，因为它们被设计来做事。它们会抓取页面、连接系统、起草操作，有时还会触发工作流。这意味着，恶意页面不需要在传统意义上“黑入”软件才会危险。它只需要把模型的推理偏转到足以改变下一步行动的程度。

对企业而言，这带来了新的安全边界问题。开放网络一直包含垃圾信息、诈骗、恶意脚本和误导性内容。人类员工会借助培训、浏览器防护和机构控制来应对这些环境。AI 智能体目前还不具备同等程度的判断力，却可以以机器速度和机器规模处理恶意内容。这种不对称把一个熟悉的互联网问题变成了一个明显属于 AI 时代的问题。

对 AI 部署的更大启示

谷歌的警告应被视为产品架构问题，而不仅仅是一条研究注脚。任何允许 AI 智能体浏览或摄取公共网页的系统，都必须假设这些网页可能包含对抗性指令。安全的默认态度不是信任，而是怀疑、隔离，以及在允许智能体输出影响敏感系统之前进行分层验证。

所提供的材料并未包含谷歌完整的缓解建议，因此这里的证据更多是方向性的，而非穷尽性的。但方向已经足够清晰。企业 AI 智能体正在与一个现实碰撞：语言模型会解释文本，而网络上存在由攻击者编写的文本。随着更多公司加速把智能体投入实际运营，最重要的安全问题可能不再是模型能做什么，而是模型会被诱导去做什么。

本文基于 AI News 的报道。阅读原文。