攻擊者正通過將惡意提示嵌入文檔宏來攻擊AI系統(tǒng)，從而演變出新的惡意軟件投遞手法。

攻擊者越來越多地利用生成式AI，通過在宏中嵌入惡意提示，并借助解析器暴露隱藏?cái)?shù)據(jù)。

根據(jù)OPSWAT最新的《文件安全現(xiàn)狀》研究，AI安全專家認(rèn)為，這種對抗性策略的變化要求企業(yè)將已在軟件開發(fā)流水線中采用的保護(hù)措施，同樣應(yīng)用到AI環(huán)境中。

惡意宏嵌入：新型提示注入

Fortra的首席數(shù)據(jù)科學(xué)家Roberto Enea告訴記者：“總體而言，這類‘嵌入宏中的惡意提示’是另一種提示注入手法。在此案例中，注入發(fā)生在文檔宏或VBA腳本中，針對分析文件的AI系統(tǒng)?！?/p>

Enea補(bǔ)充道：“通常，攻擊的最終目標(biāo)是誤導(dǎo)AI系統(tǒng)將惡意軟件誤判為安全?！?/p>

HackerOne的員工創(chuàng)新架構(gòu)師Dane Sherrets表示，將惡意提示嵌入宏是生成式AI能力被反向利用的典型案例：“這種手法利用宏進(jìn)行提示注入，輸入欺騙信息，使大型語言模型(LLM)產(chǎn)生非預(yù)期行為，可能導(dǎo)致系統(tǒng)泄露敏感數(shù)據(jù)或讓攻擊者獲得后端訪問權(quán)限?！?/p>

零點(diǎn)擊提示注入

今年早些時(shí)候，針對生成式AI的漏洞與惡意軟件開始出現(xiàn)。

例如，Aim Security研究人員發(fā)現(xiàn)了EchoLeak(CVE-2025-32711)，這是微軟365 Copilot的零點(diǎn)擊提示注入漏洞，被稱為首個(gè)針對AI智能體的攻擊。Stratascale網(wǎng)絡(luò)安全服務(wù)副總裁Quentin Rhoads-Herrera解釋：“攻擊者可以在常用業(yè)務(wù)文件(如郵件、Word文檔)中嵌入隱藏指令，當(dāng)Copilot處理文件時(shí)，這些指令會(huì)自動(dòng)執(zhí)行?！?/p>

微軟建議通過打補(bǔ)丁、限制Copilot訪問、清理共享文件中的隱藏元數(shù)據(jù)以及啟用內(nèi)置AI安全控制來應(yīng)對該漏洞。

另一類似攻擊CurXecute(CVE-2025-54135)則可通過軟件開發(fā)環(huán)境中的提示注入實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。Aim Labs的研究主管Itay Ravia指出：“攻擊者會(huì)不斷尋找隱蔽的地方嵌入提示注入，宏只是最新趨勢之一?！?/p>

AI反制工具遭“絕地心靈術(shù)”

2025年6月發(fā)現(xiàn)的“Skynet”惡意軟件嘗試對AI安全工具進(jìn)行提示注入，試圖讓AI惡意軟件分析系統(tǒng)誤判樣本無惡意，通過類似“絕地心靈術(shù)”的方式欺騙AI。Check Point的研究人員認(rèn)為，這很可能只是惡意軟件開發(fā)者的概念驗(yàn)證實(shí)驗(yàn)。

Rhoads-Herrera指出：“已有概念驗(yàn)證攻擊通過隱藏在文檔、宏或配置文件中的惡意提示，誘使AI系統(tǒng)泄露數(shù)據(jù)或執(zhí)行非預(yù)期操作?！?/p>

隱蔽且系統(tǒng)性的威脅

SplxAI的紅隊(duì)首席數(shù)據(jù)科學(xué)家Dorian Grano?a表示，提示注入已成為“隱蔽且系統(tǒng)性的威脅”。攻擊者會(huì)利用極小字體、背景匹配文本、Unicode標(biāo)簽ASCII走私、解析時(shí)注入宏、甚至文件元數(shù)據(jù)(如DOCX自定義屬性、PDF/XMP、EXIF)隱藏指令，這些內(nèi)容雖能規(guī)避人工審查，卻會(huì)被LLM完全解析執(zhí)行，實(shí)現(xiàn)間接提示注入。

防護(hù)措施

Seclore的數(shù)據(jù)安全主管Justin Endres認(rèn)為，安全負(fù)責(zé)人不能僅依賴傳統(tǒng)工具防御“將日常文件變?yōu)锳I木馬”的惡意提示。他建議：

? 在文件進(jìn)入企業(yè)環(huán)境前進(jìn)行深度檢測，尤其是來自不可信來源的文件，可使用沙箱、靜態(tài)分析和行為模擬工具。

? 實(shí)施宏執(zhí)行隔離策略，如應(yīng)用沙箱或微軟受保護(hù)視圖。

? 評估內(nèi)容解除與重建(CDR)工具，清除嵌入威脅，尤其針對PDF、Office文件等結(jié)構(gòu)化文檔。

? 對生成式AI系統(tǒng)的輸入進(jìn)行清理。

? 設(shè)計(jì)AI系統(tǒng)具備“驗(yàn)證”組件，對輸入進(jìn)行審查并設(shè)置安全護(hù)欄。

? 制定AI輸出驗(yàn)證的明確協(xié)議。

Stratascale的Rhoads-Herrera指出，最有效的防護(hù)依賴可見性、治理和安全護(hù)欄。SOCRadar的CISO Ensar Seker建議，企業(yè)應(yīng)將AI流水線視同CI/CD流水線，將零信任原則擴(kuò)展到數(shù)據(jù)解析與AI工作流中，包括引入護(hù)欄、執(zhí)行輸出驗(yàn)證、使用上下文過濾阻止未經(jīng)授權(quán)指令。Seker強(qiáng)調(diào)：“我強(qiáng)烈建議CISO和紅隊(duì)立即開始測試AI工作流對抗對抗性提示攻擊，搶在威脅成為主流之前。”