随着RAG(检索增强生成)和AI搜索的大规模普及,针对生产环境LLM的安全威胁正变得愈发隐蔽和致命。2025年最新曝光的“彗星攻击”(Comet Attack)正是针对Perplexity等主流AI搜索引擎的一次典型间接提示词注入(Indirect Prompt Injection)实战演练。该攻击展示了黑客如何利用动态网页抓取通道,绕过系统安全屏障,实现对LLM会话的完全控制。
彗星攻击的核心机制在于对RAG数据流的“毒化”。当用户向Perplexity发起查询时,其底层爬虫(如PerplexityBot)会实时抓取互联网上的相关网页。攻击者事先在自己控制的网页中植入经过精心设计的恶意指令(即“彗星”载荷)。这些载荷通常利用CSS的display:none或零宽字符进行隐藏,对普通用户不可见,但在网页HTML被解析并送入LLM上下文窗口时,它就会被模型作为指令执行。
由于当前LLM在底层架构上无法有效区分“指令控制面”(System Prompt)和“数据输入面”(Retrieved Context),当LLM处理到爬取的恶意网页时,恶意的“彗星”指令会覆盖原有的系统设定。例如,攻击者可以命令LLM在回答中静默嵌入一个指向攻击者服务器的Markdown图片标签。一旦LLM渲染该标签,用户的敏感会话历史或API Key就会被悄无声息地外发。
相比传统的提示词注入,彗星攻击因其“动态性”和“瞬时性”而得名。它不需要直接作用于用户输入端,而是通过搜索引擎的检索机制被动触发。这种非接触式的攻击特征让基于静态敏感词过滤的防御机制彻底失效,因为恶意的载荷是在运行时动态混入上下文的。
针对这一漏洞,目前的生产级缓解方案主要包括:采用“双LLM架构”对检索内容进行预净化、在上下文中使用严格的XML标签对数据与指令进行硬性隔离,以及在前端实施极度严苛的内容安全策略(CSP),绝对禁止加载非白名单域名的图片和外部链接,切断数据外泄的物理通路。
【AgentUpdate 深度解析】 彗星攻击的出现,标志着AI安全威胁正式从“玩具级绕过”演变为“生产级灾难”。在AI Agent生态中,这一威胁将被无限放大。现代Agent的核心竞争力在于其高度的自主性,尤其是通过MCP(模型上下文协议)等标准与各种外部工具、API进行深度绑定。一旦Agent在执行网络检索或读取外部邮件时遭遇此类间接提示词注入,攻击者不仅能窃取数据,更能直接接管Agent的“双手”,诱导其执行删除云端文件、发送欺诈邮件甚至调用支付接口等高危操作。因此,Agent开发者必须摒弃“依靠提示词工程防注入”的幻想,转向“零信任”安全架构:将所有外部工具返回的数据均视为恶意输入,在沙箱环境中运行Agent指令,并在工具调用(Tool Calling)的边界处设立强人工确认(Human-in-the-loop)防线。这才是AI Agent走向大规模商业落地的安全基石。
