在人工智能工具日益普及的今天,网页内容自动总结已成为许多用户获取信息的便捷方式。然而,一项来自印度马尼帕尔大学的最新研究揭示了一个令人不安的安全漏洞:攻击者可以通过在HTML代码中植入隐形元素,向大语言模型(LLM)传递隐藏指令,从而操控其总结输出,而用户对此毫无察觉。
这项研究系统地探讨了LLM处理网页内容时的潜在风险。当前,许多AI工具(如浏览器插件、自动摘要平台)在爬取网页内容时,不仅提取用户可见的文本,还会将原始HTML代码、隐藏属性及辅助标签(如为视障用户设计的aria-label)一并输入模型。这种处理方式虽然旨在提供更全面的上下文,却为恶意攻击者创造了可乘之机。他们可以将指令嵌入这些不可见的HTML元素中,在不影响用户正常浏览的前提下,诱导LLM执行特定操作,导致总结内容被篡改、扭曲甚至完全偏离原意。
为了深入验证这一漏洞,研究团队构建了一个接近真实场景的实验框架。他们首先创建了一个包含280个网页的数据集,涵盖博客、新闻、产品说明和用户评论等10类常见页面。每个页面均设有两个版本:干净版(无任何隐藏指令)和中毒版(可见内容不变,仅在HTML中植入恶意指令)。团队设计了八种不同的隐形注入手法,以模拟攻击者可能采用的技术手段。这些手法包括:
1. 隐藏
2. HTML注释:将指令嵌入标签中,浏览器会忽略但LLM可能读取。
3. 隐藏:使用style=”display:none”使脚本标签失效但保留内容。
4. Base64编码属性:将指令转换为Base64字符串并存储在自定义HTML属性中。
5. ARIA标签:利用视障辅助标签aria-label传递指令。
6. Meta标签:在描述中隐藏指令。
7. 透明
8. 图片alt文本:在的alt属性中添加指令。
[[IMAGE_1]]
在实验过程中,团队将所有网页部署在GitHub Pages上,以模拟真实网站的HTTP访问环境。随后,使用Playwright工具以无头模式加载网页,并同时提取原始HTML代码和渲染后的可见文本。这两种内容分别被输入至Meta的Llama 4 Scout和谷歌的Gemma 9B IT模型,以生成总结输出。通过对比干净版和中毒版的结果,团队评估了攻击的成功率。
研究结果显示,隐形攻击对主流开源模型构成了显著威胁。Llama 4 Scout在近30%的测试样本中受到操控,而Gemma 9B IT的中招率也达到15.71%。具体而言,Llama 4 Scout的平均ROUGE-L分数为0.3011,SBERT余弦相似度为0.6980;Gemma 9B IT的相应分数分别为0.3270和0.6945。人工标注进一步确认了攻击效果,包括指令泄漏(如输出突变为海盗腔调)以及语气和视角的偏移。
[[VIDEO_1]]
进一步分析揭示了不同注入手法的有效性差异。对于Llama 4 Scout,标签攻击最为致命,占其总成功攻击数的41%;而Gemma 9B IT则对透明
这一漏洞的严重性在于其完全隐形的特性。与传统的提示注入攻击(需修改可见文本)不同,HTML隐形注入不改变网页外观,用户和开发者都难以察觉。即使进行输入预处理或清洗,标准网页元素如和aria-label也难以被完全禁止,从而增加了防御难度。此外,该漏洞的影响范围广泛,所有依赖网页爬取和总结的AI工具都可能受到影响,包括AI浏览器插件、自动新闻摘要平台、企业内部内容分析工具乃至AI驱动的内容审核系统。攻击者可能利用此漏洞传播虚假信息、植入偏见内容,甚至窃取敏感数据(如通过隐藏指令提取网页中的邮箱地址)。
面对这一挑战,研究团队呼吁开发者和企业加强安全防护措施。潜在解决方案包括:优化输入预处理流程,以识别和过滤隐藏指令;增强模型对HTML结构的理解能力,区分可见内容与隐形元素;以及建立多层防御机制,结合技术手段与人工审核。只有通过综合应对,才能确保AI工具在提供便利的同时,维护内容的安全性与可靠性。
[[IMAGE_2]]
关注“鲸栖”小程序,掌握最新AI资讯
本文来自网络搜集,不代表鲸林向海立场,如有侵权,联系删除。转载请注明出处:http://www.itsolotime.com/archives/12757
相关推荐
-
Game-TARS:从游戏玩家到通用计算机用户的革命性跨越——基于统一键盘鼠标动作空间的智能体范式
在人工智能与游戏交互的交叉领域,一项突破性进展正在重新定义智能体的能力边界。字节跳动Seed团队最新发布的Game-TARS通用型游戏智能体,不仅实现了在《我的世界》、《神庙逃亡》、《星露谷》等多样化游戏环境中的卓越表现,更通过零样本迁移能力在未见过的3D网页游戏中展现惊人适应性。 这一成就的背后,是团队对智能体交互范式的根本性重构——从传统的函数调用模式转…
-
智源研究院:以“安卓”模式破局具身智能数据孤岛,引领行业生态共建新范式
在2025年智源具身智能Open Day活动中,一场被业界称为“具身武林大会”的盛会,罕见地聚集了银河通用、智元、星海图、自变量、原力灵机、加速进化、北京人形、星源智、优必选、因时、软通天擎等机器人领域的主要厂商代表。这一现象背后,折射出当前具身智能产业面临的核心挑战与转型契机。 智源研究院院长王仲远在会上提出的“数据贡献与模型效用正向关联”机制,直指行业长…
-
3DGS压缩新范式:基于高斯混合简化的几何结构保持方法
在三维视觉领域,3D Gaussian Splatting(3DGS)作为近年来兴起的高效三维场景建模技术,通过大量各向异性高斯球的分布与渲染,实现了高质量的新视角合成。然而,其核心挑战在于高斯球的高度冗余性,这直接制约了模型的存储效率与渲染速度。传统压缩方法多采用基于重要性得分的剪枝策略,虽能减少高斯数量,但往往以破坏全局几何结构为代价,导致细节丢失或场景…
-
GPT-5.2深度解析:专业生产力工具的进化与多模态能力突破
OpenAI近期正式发布了GPT-5.2系列模型,这一更新标志着人工智能在专业工作场景中的应用迈入新阶段。数据显示,ChatGPT企业版用户平均每日可节省40-60分钟的工作时间,重度用户每周节省超过10小时,这不仅是效率的提升,更是工作模式的根本性变革。GPT-5.2的核心目标在于释放更广泛的经济价值,通过技术优化推动各行业知识工作者的生产力跃升。 在专业…
-
寒武纪-S:重新定义空间智能,开启AI超感知时代
在人工智能技术快速迭代的当下,一个名为“寒武纪-S”(Cambrian-S)的项目正悄然引发行业深度思考。该项目由谢赛宁牵头,并获得了李飞飞和Yann LeCun等顶尖学者的支持,其核心目标并非追逐传统的芯片硬件竞赛,而是直指AI发展的一个根本性挑战:如何让人工智能真正学会感知和理解三维空间世界。 寒武纪-S本质上是一个专注于**空间感知**的多模态视频大模…
