在人工智能工具日益普及的今天,网页内容自动总结已成为许多用户获取信息的便捷方式。然而,一项来自印度马尼帕尔大学的最新研究揭示了一个令人不安的安全漏洞:攻击者可以通过在HTML代码中植入隐形元素,向大语言模型(LLM)传递隐藏指令,从而操控其总结输出,而用户对此毫无察觉。
这项研究系统地探讨了LLM处理网页内容时的潜在风险。当前,许多AI工具(如浏览器插件、自动摘要平台)在爬取网页内容时,不仅提取用户可见的文本,还会将原始HTML代码、隐藏属性及辅助标签(如为视障用户设计的aria-label)一并输入模型。这种处理方式虽然旨在提供更全面的上下文,却为恶意攻击者创造了可乘之机。他们可以将指令嵌入这些不可见的HTML元素中,在不影响用户正常浏览的前提下,诱导LLM执行特定操作,导致总结内容被篡改、扭曲甚至完全偏离原意。
为了深入验证这一漏洞,研究团队构建了一个接近真实场景的实验框架。他们首先创建了一个包含280个网页的数据集,涵盖博客、新闻、产品说明和用户评论等10类常见页面。每个页面均设有两个版本:干净版(无任何隐藏指令)和中毒版(可见内容不变,仅在HTML中植入恶意指令)。团队设计了八种不同的隐形注入手法,以模拟攻击者可能采用的技术手段。这些手法包括:
1. 隐藏
2. HTML注释:将指令嵌入标签中,浏览器会忽略但LLM可能读取。
3. 隐藏:使用style=”display:none”使脚本标签失效但保留内容。
4. Base64编码属性:将指令转换为Base64字符串并存储在自定义HTML属性中。
5. ARIA标签:利用视障辅助标签aria-label传递指令。
6. Meta标签:在描述中隐藏指令。
7. 透明
8. 图片alt文本:在的alt属性中添加指令。
[[IMAGE_1]]
在实验过程中,团队将所有网页部署在GitHub Pages上,以模拟真实网站的HTTP访问环境。随后,使用Playwright工具以无头模式加载网页,并同时提取原始HTML代码和渲染后的可见文本。这两种内容分别被输入至Meta的Llama 4 Scout和谷歌的Gemma 9B IT模型,以生成总结输出。通过对比干净版和中毒版的结果,团队评估了攻击的成功率。
研究结果显示,隐形攻击对主流开源模型构成了显著威胁。Llama 4 Scout在近30%的测试样本中受到操控,而Gemma 9B IT的中招率也达到15.71%。具体而言,Llama 4 Scout的平均ROUGE-L分数为0.3011,SBERT余弦相似度为0.6980;Gemma 9B IT的相应分数分别为0.3270和0.6945。人工标注进一步确认了攻击效果,包括指令泄漏(如输出突变为海盗腔调)以及语气和视角的偏移。
[[VIDEO_1]]
进一步分析揭示了不同注入手法的有效性差异。对于Llama 4 Scout,标签攻击最为致命,占其总成功攻击数的41%;而Gemma 9B IT则对透明
这一漏洞的严重性在于其完全隐形的特性。与传统的提示注入攻击(需修改可见文本)不同,HTML隐形注入不改变网页外观,用户和开发者都难以察觉。即使进行输入预处理或清洗,标准网页元素如和aria-label也难以被完全禁止,从而增加了防御难度。此外,该漏洞的影响范围广泛,所有依赖网页爬取和总结的AI工具都可能受到影响,包括AI浏览器插件、自动新闻摘要平台、企业内部内容分析工具乃至AI驱动的内容审核系统。攻击者可能利用此漏洞传播虚假信息、植入偏见内容,甚至窃取敏感数据(如通过隐藏指令提取网页中的邮箱地址)。
面对这一挑战,研究团队呼吁开发者和企业加强安全防护措施。潜在解决方案包括:优化输入预处理流程,以识别和过滤隐藏指令;增强模型对HTML结构的理解能力,区分可见内容与隐形元素;以及建立多层防御机制,结合技术手段与人工审核。只有通过综合应对,才能确保AI工具在提供便利的同时,维护内容的安全性与可靠性。
[[IMAGE_2]]
关注“鲸栖”小程序,掌握最新AI资讯
本文来自网络搜集,不代表鲸林向海立场,如有侵权,联系删除。转载请注明出处:https://www.itsolotime.com/archives/12757
相关推荐
-
沐曦MXMACA 3.3.0.X发布:国产GPU生态兼容突破,CUDA项目迁移成功率超92%
近日,国产GPU公司沐曦股份在完成IPO后,发布了其上市以来的首个重大技术更新——MXMACA软件栈(MACA)的全新版本3.3.0.X。该版本标志着沐曦在软件生态建设上实现了一次重要跨越,其核心目标是解决国产GPU“用起来”的关键问题。 在全自主硬件体系的支持下,沐曦构建了完整的“全栈软件”体系,旨在最大化释放硬件算力。MACA(MetaX Acceler…
-
智算中心建设蓝图:2026年规划方案与关键技术解析
一、前言 智算中心的建设需要大量的资金投入,涵盖数据存储设备、计算资源、网络设施以及人工智能模型的开发与优化。尤其在初期阶段,其运营成本较高,特别是电力和冷却系统的需求。因此,如何有效降低长期运营成本并确保投资回报,是企业决策中必须审慎考量的核心问题。 智算中心的建设背景,既根植于持续的技术进步与不断变化的市场需求,也与国家发展战略及产业转型升级紧密相连。随…
-
超越基础RAG:构建面向学术论文的智能检索系统实战
在AI工程实践中,你很快会意识到:并不存在一张可以完全照搬的“通用蓝图”。 对于检索增强生成(RAG)中的基础检索(“R”),标准流程包括文档分块、查询语义搜索、结果重排等。这套流程已广为人知。 但随着系统深入应用,一个问题会浮现:如果一个系统对一篇文档的理解仅限于几个零散的文本块,我们如何能称其为“智能”? 那么,如何确保系统获得足够的信息,从而做出“聪明…
-
EverMemOS:为AI智能体注入“时间灵魂”的长期记忆操作系统深度解析
在人工智能技术快速演进的当下,长期记忆能力正成为区分普通AI工具与高级智能体的关键分水岭。近日,EverMind团队正式发布其旗舰产品EverMemOS,这款面向人工智能智能体的世界级长期记忆操作系统,旨在成为未来智能体的数据基础设施,为AI赋予持久、连贯、可进化的“灵魂”。本文将从技术架构、行业意义、应用场景三个维度,对这一突破性系统进行深入分析。 **一…
-
谷歌神秘模型突破历史手写识别极限:从字符识别到知识推理的AI跃迁
近日,谷歌AI Studio上出现的神秘模型在历史手写文本识别(HTR)领域取得突破性进展,不仅成功转写了200多年前的商人账本,还展现出令人震惊的推理与纠错能力。这一进展不仅标志着AI在文档处理技术上的重大进步,更揭示了大型语言模型从单纯模式匹配向深度知识理解演化的关键路径。 历史手写文本识别长期以来被视为AI领域的“硬骨头”,其挑战不仅在于视觉层面的字符…
