2025 年,知名 AI 搜索引擎 Perplexity 遭遇了名为“Comet”的间接提示注入攻击(Indirect Prompt Injection),这一事件在 AI 安全领域引发了巨大震动。Comet 攻击的核心在于利用了 AI 搜索引擎的检索增强生成(RAG)机制,通过操纵互联网上的网页内容,间接控制 AI 模型的输出行为。
在 Comet 攻击中,攻击者并不需要直接与 Perplexity 的对话框交互。相反,他们会在自己控制的网页中嵌入一段经过精心构造的隐形指令。当用户通过 Perplexity 搜索相关话题时,Perplexity 的爬虫会抓取这些恶意网页,并将其内容作为参考上下文喂给底层的大语言模型(LLM)。此时,隐藏在网页中的恶意指令会“激活”,命令模型忽略用户原本的问题,转而执行攻击者的意图。
这种攻击的危害性极高,能够实现多种恶意目的:首先是数据外泄,攻击者可以命令模型将用户的搜索历史或敏感信息发送到指定的远程服务器;其次是信息操纵,攻击者可以强制 AI 生成特定品牌的虚假好评或传播误导性的政治信息;最后是持久性劫持,攻击者甚至能指令 AI 在后续的对话中持续扮演某种特定的、带有偏见的身份。
Comet 攻击揭示了当前 AI 应用在处理第三方不可信数据时的致命弱点。由于 LLM 无法在逻辑上完全区分“系统指令”和“检索到的外部数据”,导致 RAG 架构天然存在被注入的风险。尽管 Perplexity 已经部署了多层内容过滤和防御机制,但 Comet 攻击通过复杂的语义混淆手段绕过了这些静态检测。对于开发者而言,这标志着 AI 安全已从简单的敏感词过滤演变为复杂的对抗性工程,建立稳健的输入清洗与输出监控框架已刻不容缓。
