ChatGPT、GenAI工具面临“提示中间人”浏览器攻击

一种全新的网络攻击向量允许威胁行为者使用被污染的浏览器扩展，向市场上所有顶级生成式AI工具（包括ChatGPT、Gemini等）注入恶意提示。

攻击原理：利用DOM交互缺陷

浏览器安全供应商LayerX发布的研究显示，该攻击利用了AI工具浏览器实例与Web浏览器自身交互方式的“弱点”。这种被称为“提示中间人”（man in the prompt）的攻击利用了一个事实：对于许多生成式AI/LLM驱动的工具，输入字段是页面文档对象模型（DOM）的一部分，而DOM是Web浏览器用于渲染文档的API。

由于浏览器扩展在Web浏览器中可能拥有高权限，并且它们也依赖于DOM，LayerX表示：“任何具有DOM脚本访问权限的浏览器扩展都可以直接读取或写入AI提示。”这正是攻击者的机会所在。

攻击影响范围广泛

研究指出：“任何浏览器扩展，即使没有任何特殊权限，都可以访问商业和内部LLM的提示，注入提示来窃取数据、外泄数据并掩盖痕迹。”

虽然这不是涉及特定模型或产品的漏洞，但LayerX声称包括ChatGPT、Gemini、Deepseek、Copilot和Claude在内的多个模型都容易受到两种版本攻击的影响。

攻击执行方式多样

攻击者可以通过多种方式执行漏洞利用：

• 通过后渗透安装的浏览器扩展
• 通过网络钓鱼或域名抢注等社会工程方法无意安装的扩展
• 用户已安装但攻击者购买访问权限后污染的扩展

在最后一种情况下，用户无需采取任何行动。这并非牵强的情景，因为Chrome Web Store（作为一个注入示例）有整整一类扩展，其功能集包括提示编写、阅读和编辑。

内部LLM面临更高风险

内部LLM尤其容易受到攻击，因为正如研究指出的，它们“通常使用高度敏感的专有组织数据进行训练或增强”，例如法律文件、内部通信、源代码、知识产权、财务预测、公司战略等。

这些内部LLM从安全角度来看也具有高度信任，并且查询防护措施较少。

概念验证演示

研究包括针对ChatGPT和Gemini的概念验证（PoC）漏洞利用：

在ChatGPT的PoC中，用户安装了没有启用任何权限的受损扩展。命令与控制（C2）服务器向扩展发送查询，扩展打开后台标签页并查询ChatGPT。结果被外泄到外部日志，扩展删除相关聊天记录。

Gemini的PoC依赖于以下事实：默认情况下，Gemini可以访问最终用户在Google Workspace中可访问的所有数据，如电子邮件、文档、联系人以及用户具有权限的所有共享文件和文件夹。Gemini与Workspace的集成还包括Google应用程序中的侧边栏，允许用户自动化某些功能。

风险与缓解措施

LayerX首席执行官兼联合创始人Or Eshed表示，他“毫不怀疑”攻击者会利用这种攻击。“这种攻击的潜在用例和场景是无限的，”他说。“这是一个非常容易得手的目标。”

虽然利用潜力很高，而且传统安全工具无法看到DOM级别的交互，但Or解释说，在防御方面，保护浏览器是“可以通过浏览器保护或更安全的AI应用程序来管理和实现的”。

LayerX在研究中说，防御者应该通过监听器或webhook监控其GenAI工具中的DOM交互，并根据行为风险而不是允许列表来阻止有风险的扩展。组织还应定期审核其环境中的扩展以及这些扩展具有的权限。