“CopyPasta”攻击揭示即时注入可大规模感染人工智能系统

黑客如今只需利用一个嵌入陷阱的许可证文件，就能将人工智能编程助手转变为武器，使开发者工具成为静默传播恶意代码的载体。这是根据网络安全公司 HiddenLayer 发布的一份新报告，展示了如何诱骗人工智能盲目地将恶意软件复制到项目中。

这种概念验证技术被称为“CopyPasta许可证攻击”，利用了人工智能工具处理 LICENSE.txt 和 README.md 等常见开发者文件的方式。通过在这些文档中嵌入隐藏指令（即所谓的“即时注入”），攻击者可以操纵 AI 在用户毫不知情的情况下注入恶意代码。

HiddenLayer 研究员兼报告作者 Kenneth Yeung 表示：“我们建议在运行时采取防御措施，以防止间接提示注入，并确保对文件进行的任何更改都经过彻底审查。”解密。

Yeung 解释说，CopyPasta 被归类为病毒而非蠕虫，因为它的传播仍需要用户操作。“用户必须采取某种行动才能触发恶意负载的传播，”他说。.

尽管需要一定程度的用户交互，但该病毒旨在通过利用开发人员依赖人工智能代理处理常规文档的习惯，逃避人类的注意。

“CopyPasta 将自身隐藏在 README 文件中不可见的注释中，而开发人员通常会委托 AI 或语言模型来生成这些注释，”他解释道，“这使得它能够以一种隐秘、几乎无法察觉的方式传播。”

CopyPasta 并非首次尝试感染人工智能系统。早在 2024 年，研究人员就提出了一种名为莫里斯二世的攻击方法，旨在操纵人工智能电子邮件代理传播垃圾邮件和窃取数据。虽然该攻击理论上的成功率较高，但由于代理能力有限，在实践中未能成功。迄今为止，人工审核措施已阻止此类攻击在野外发生。

尽管 CopyPasta 攻击目前仍停留在实验室概念验证阶段，但研究人员表示，它凸显了人工智能助手可能成为不知情的帮凶这一潜在风险。

研究人员指出，核心问题在于信任。人工智能代理被编程为将许可证文件视为重要文件，并且它们通常不加审查地执行嵌入的指令。这为攻击者利用漏洞打开了方便之门——尤其是在这些工具获得越来越多自主权之后。

CopyPasta 是近期一系列针对 AI 工具的快速注入攻击警告之后发布的。

今年 7 月，OpenAI 首席执行官 Sam Altman 曾警告称，ChatGPT 推出时就曾面临提示注入攻击的风险，并指出恶意提示可能会劫持代理的行为。今年 8 月，Brave Software 也发出类似警告，证明Perplexity AI 浏览器扩展程序中存在提示注入缺陷，显示 Reddit 评论中的隐藏命令如何导致助手泄露私人数据。