智能体数据注入攻击:绕过AI智能体防御的全新攻击类别
来自首尔国立大学及印第安纳大学和威斯康星大学的研究人员引入了智能体数据注入攻击(ADI)——一种将恶意数据注入智能体受信数据结构的新型攻击,在Claude Code、Codex和Gemini CLI上实现了任意点击攻击和远程代码执行,并绕过了现有防御。
本文由人工智能基于一手来源生成。
AI智能体安全研究迄今主要聚焦于一类攻击:指令注入,攻击者将伪造指令插入智能体处理的不受信数据,试图让智能体将其视为合法的用户指令。研究界已开发出一系列旨在检测和阻止此类尝试的防御措施。然而,来自首尔国立大学及印第安纳大学和威斯康星大学的研究人员,在2026年7月6日发表的论文中记录了一类完全绕过这些防御的攻击——且运作原理截然不同。
什么是智能体数据注入,为何此前不可见?
智能体数据注入(ADI)不针对提示词。恶意内容被注入的是智能体视为受信数据的结构——元数据,如资源标识符和数据来源;或用于工具响应和工具调用结构的格式。智能体不会像对待不受信文本那样以同等程度的审慎来检查这些结构。
区别是根本性的。指令注入试图将攻击伪装在自然语言中——攻击者编写看起来像合法指令的文本。ADI不这样做:攻击被编码在智能体假定为正常工作协议一部分的结构化数据中。现有防御寻找的是不应出现的位置中的指令性内容;ADI改变了其形式和位置。
三类攻击:从任意点击到供应链攻击
研究人员识别出三种不同类别的ADI攻击,每种都有不同的目标和机制:
任意点击攻击针对自主导航用户界面并代表用户执行操作的网络智能体。嵌入网络内容中的恶意元数据——如伪造的元素标识符或被篡改的浏览器API响应——诱导智能体点击未授权的元素,可能触发购买、确认交易或泄露敏感数据。
远程代码执行(RCE)攻击针对编写、分析和运行代码的编码智能体。ADI操纵工具调用响应格式——智能体从文件系统或调试器等工具接收的信息——使智能体在用户环境中执行攻击者的代码。
供应链攻击使用相同机制危害开发流程:攻击者将恶意代码注入伪装成合法的包、库或开发依赖项数据,而编码智能体会下载并集成这些数据。
存在漏洞的商业智能体:Claude Code、Codex和Gemini CLI
研究人员不仅在实验系统上演示了攻击——他们测试的是用户可用的真实商业产品:
针对任意点击攻击:Claude in Chrome、Antigravity和Nanobrowser被证明对嵌入智能体处理的网络内容中的恶意元数据存在漏洞。
针对RCE和供应链攻击:Claude Code、Codex和Gemini CLI — 市场上三款领先的编码智能体 — 被证明对工具响应格式的篡改存在漏洞。
受影响系统的广泛性并非偶然:正如作者所指出的,ADI针对的是所有这些智能体共同存在的根本设计缺陷,而不是其中某一个的特定实现错误。
智能体设计中的根本安全缺陷
作者识别的根本原因清晰明了:当前智能体不将受信数据与不受信数据隔离。这不是实现的边缘案例——这是现代智能体系统设计中被系统性忽视的基本安全原则。
与软件工程的类比很有帮助:SQL注入攻击数十年来利用的是应用程序不区分SQL代码和用户数据的事实。解决方案(参数化查询、预编译语句)需要架构性变更,而不仅仅是过滤器。作者建议对ADI进行类似思考:添加一个寻找数据中指令性内容的过滤器是不够的。需要在智能体运行时层面进行架构隔离。
ADI绕过现有的提示注入(IPI)防御,是因为这些防御假设攻击以指令形式出现——而不是以看起来合法的结构化数据形式。只要智能体在不验证来源和完整性的情况下信任所有结构化数据,这个缺口就依然存在。
论文共19页,19张图,7个表格,可在arXiv(2607.05120)获取。作者为Woohyuk Choi、Juhee Kim、Taehyun Kang、Jihyeon Jeong、Luyi Xing和Byoungyoung Lee。
常见问题
- ADI与已知的指令注入攻击有何不同?
- 指令注入操纵自然语言提示,使智能体接收未授权指令。ADI则将恶意数据伪装成受信数据结构——元数据、资源标识符或工具响应格式——利用智能体对结构化数据的信任机制,而非提示本身。
- 哪些真实的商业智能体存在ADI攻击漏洞?
- 研究人员在Claude in Chrome、Antigravity和Nanobrowser上演示了任意点击攻击,并在Claude Code、Codex和Gemini CLI上演示了远程代码执行和供应链攻击——均为研究时用户可用的真实商业产品。
- ADI漏洞的根本原因是什么,如何修复?
- 根本原因是智能体架构中缺乏对受信数据与不受信数据的隔离。作者指出,这是当前智能体未能遵循的基本安全原则,解决它需要架构层面的变更,而不仅仅是添加新的过滤器。