生成式人工智能 (GenAI) 快速融入企业工作流程,显著提升了生产力,但也带来了复杂且未知的安全风险。随着企业采用这些强大的工具,其数字足迹也随之扩大,从而创建了一个复杂的 GenAI 攻击面,而传统的安全措施难以抵御。GenAI 的本质——其对海量数据集、复杂模型、用户驱动的输入以及互联 API 的依赖——为恶意行为者创造了众多的切入点。了解 GenAI 漏洞图谱是迈向有效攻击面管理和在人工智能时代保护企业数据的第一步。

GenAI 安全威胁统计数据显示 2025 年企业环境中的主要漏洞和采用率

AI 攻击面涵盖所有可能被利用来损害系统完整性、机密性或可用性的组件。这不仅包括 AI 模型本身,还包括其训练数据、API、用户提示和集成的第三方插件。与针对网络或端点的传统网络威胁不同,基于 AI 的网络攻击利用用户、数据和模型本身之间微妙的交互,给安全团队带来了全新的挑战。

解构 GenAI 攻击面

GenAI 的采用从根本上改变了安全格局。它不仅仅是现有基础设施的扩展,而是一个动态的生态系统,数据在用户、内部系统和第三方 AI 服务之间自由流动。这创造了一个多层面的攻击面,其中包含多个关键且往往相互重叠的漏洞。

GenAI 攻击面漏洞图详细说明了五种主要攻击媒介、其风险级别以及常见的利用方法

输入操作和提示注入

对 GenAI 系统最直接的威胁之一是输入操纵,攻击者会编写恶意提示来欺骗模型,迫使其执行非预期的操作。这远远超出了简单的查询,进入了复杂的利用领域。

一种主要的攻击技术是提示注入,攻击者会在看似无害的输入中嵌入隐藏命令。LayerX 的研究人员发现了一种名为“Man-in-the-Prompt”的新型漏洞利用向量,它利用浏览器扩展程序将恶意指令注入用户与 AI 工具的会话中。想象一下这样一个场景:一位经理使用内部 GenAI 助手总结一份机密报告。一个被入侵的浏览器扩展程序可能会悄悄地向提示中添加一条命令,指示 AI 将完整文档泄露到外部服务器。用户完全不知情,但重大数据泄露已经发生。

攻击者使用各种方法来实现此目的,包括:

  •       直接提示注入:精心设计输入,诱骗模型忽略其安全协议。
  •       间接提示注入:将恶意提示隐藏在 AI 负责分析的外部数据源中,例如网页或文档。
  •       越狱:利用模型底层限制中的漏洞来完全绕过其道德和操作保障措施。

这些攻击尤其危险,因为它们将值得信赖的生产力工具变成内部威胁,并利用其能力来攻击组织。

API 滥用和不安全的集成

GenAI 应用程序很少独立存在;它们通过应用程序编程接口 (API) 集成到更广泛的工作流程中。虽然这些连接能够实现强大的用例,但如果不妥善保护,也会带来 API 滥用的巨大风险。

该领域一个日益严重的威胁是“LLMjacking”(LLM劫持)。威胁行为者劫持被盗的API密钥或其他非人类身份凭证,以获取对云端AI模型的未经授权的访问权限。一旦获得访问权限,他们就可以滥用受害者的基础设施来运行自己的非法应用程序、生成恶意内容或窃取数据,而所有这一切都由受感染的组织承担。研究表明,攻击者最快只需9分钟即可发现并利用暴露的AWS API密钥,这凸显了这些自动化攻击的发生速度之快。

供应链攻击的风险加剧了这种脆弱性。当 GenAI 工具与第三方应用程序或插件集成时,这些外部组件中的任何漏洞都可能被用作进入企业环境的后门,从而造成连锁安全故障。

快速连锁和复杂的攻击序列

更先进的攻击者不再局限于单一、孤立的攻击,而是开始采用提示链式攻击。这种技术涉及一系列精心设计的提示,旨在逐步操纵人工智能模型。第一个提示可能会使模型降低防御能力或采取特定的角色,使其更容易受到后续更恶意命令的攻击。

例如,攻击者可以先向客服聊天机器人询问一些通用问题,以了解其行为。然后,他们可能会引入一个导致轻微可控错误的提示。在此基础上,他们可以注入一个利用错误状态提取小块非敏感数据的命令。这种逐步升级的过程使得攻击更难被发现,因为没有任何一个提示看起来是明显的恶意行为。研究表明,越狱模型的能力可以显著提升此类攻击的严重性和规模,将一个小漏洞转化为大范围的攻击。

插件滥用和浏览器扩展威胁

现代浏览器是 GenAI 的主要接口,其通过插件和扩展程序的可扩展性,为 AI 攻击面带来了一个关键但常常被忽视的部分。恶意浏览器扩展程序是插件滥用和数据泄露的有力载体。

LayerX 的研究表明,即使没有特殊权限的扩展程序也能与网页的文档对象模型 (DOM) 交互,从而直接读写 AI 提示字段。这意味着看似无害的扩展程序(例如语法检查器或主题定制器)也可能被用作武器,窃取与 GenAI 工具共享的敏感数据。它可以捕获粘贴到编码助手中的专有源代码或输入到客服机器人中的 PII。

许多组织对员工安装的扩展程序缺乏可见性和控制力,这进一步加剧了危险。恶意扩展程序可以充当键盘记录器,通过窃取身份验证令牌劫持用户会话,或修改网页内容以将用户重定向到钓鱼网站,所有这些都在传统安全工具的监控下进行。

模型响应劫持和数据中毒

除了操纵输入之外,攻击者还可以通过劫持模型响应来攻击人工智能的输出。在这种情况下,攻击者的目标是篡改模型生成的信息,以传播虚假信息、嵌入恶意链接或损害声誉。攻击者可以操纵金融咨询机器人提供错误的投资建议,或毒害面向公众的聊天机器人,使其回复攻击性内容。

一个更为隐蔽的威胁是数据中毒,它会破坏人工智能模型的根本基础:训练数据。通过在用于训练 LLM 的数据集中插入有偏见或恶意的信息,攻击者可以创建持久后门,降低模型的准确性,或嵌入可在之后触发的隐藏行为。例如,用于恶意软件检测的中毒模型可能会被训练为忽略特定类型的威胁,从而有效地让攻击者获得自由通行证。

放大内部威胁攻击

GenAI 显著扩展了内部威胁的攻击面,模糊了恶意意图与意外疏忽之间的界限。员工为了提高工作效率,可能会将敏感信息(例如未发布的财务报告、客户名单或专有软件代码)粘贴到数据处理方式不透明的公共 GenAI 工具中,从而在不知不觉中将组织置于风险之中。2023 年发生的臭名昭著的事件——三星员工使用 ChatGPT 泄露机密源代码——就清楚地提醒了人们这种风险。

这种形式的数据泄露尤其难以用传统的数据丢失防护 (DLP) 工具来阻止,因为这些工具通常基于文件,对浏览器会话中的复制粘贴操作或文本输入的可见性有限。如果没有浏览器级别的细粒度控制,组织实际上对这种海量数据泄露渠道视而不见。

降低风险:以浏览器为中心的方法

有效管理 GenAI 攻击面需要安全策略的范式转变。传统的基于边界的工具(例如 CASB 和 SWG)并非设计用于检查定义现代 AI 用途的实时浏览器内交互。它们无法可靠地区分个人账户和公司账户,无法查看用户提示的内容,也无法阻止数据被粘贴到聊天窗口中。

为了弥补这一关键的安全漏洞,企业必须采用以浏览器为中心的方法,提供对用户活动的深度可视性和精细控制。关键的缓解策略包括:

  •       检查浏览器内行为:安全解决方案必须能够监控 DOM 级别的交互,以实时检测和阻止提示注入、未经授权的数据访问和其他恶意活动。
  •       防止有风险的数据共享:实施强大的 GenAI DLP 策略来控制可以粘贴或输入到 AI 提示中的数据,对于防止意外和恶意数据泄露至关重要。
  •       管理扩展的使用:组织需要工具来发现、审查和控制其环境中使用的浏览器扩展,阻止那些表现出危险行为的扩展,无论其声明的权限如何。
  •       消除影子人工智能:了解员工使用的所有 SaaS 和 GenAI 工具(无论是否受到批准)对于实施一致的安全策略和消除“影子人工智能”盲点至关重要。

随着 GenAI 的不断发展,针对它的威胁也将随之演变。GenAI 的攻击面并非静态地图,而是一个不断扩展的动态战场。通过了解其关键漏洞(从输入操纵和 API 滥用到提示符链、插件滥用和模型响应劫持),并部署能够适应现代工作速度和规模的安全控制措施,组织可以在不损害自身安全态势的情况下,充分利用 AI 的变革力量。