SEO 投毒网站藏匿提示注入,劫持 AI 网页智能体
Zscaler ThreatLabz 发现活跃的恶意网站,结合 SEO 投毒、CSS 隐藏文本与被滥用的结构化标记,植入指令诱使自主网页智能体向攻击者付款。
这是什么?
2026 年 7 月 2 日,Zscaler ThreatLabz 发布研究,记录了真实存在的网站在自身内容中藏匿指令,以操纵自主 AI 网页智能体。这并非实验室里的概念验证:研究人员追踪了两起活跃的攻击活动,其页面冒充合法的开发与金融服务,并嵌入面向机器(而非人类)阅读的提示式指令。该技术是一种间接提示注入(IPI):将恶意文本放入智能体检索到的内容(网页、文档、邮件)中,使智能体把攻击者的指令当作任务的一部分。本文描述的是一类攻击,而非可直接实施的漏洞利用。
值得注意的是其包装方式。攻击者将注入与 **SEO 投毒(搜索引擎优化投毒)**结合,使得搜索软件包或服务的智能体更有可能一开始就落到这个陷阱页面。ThreatLabz 通过在 26 个大语言模型上测试网页智能体确认了真实影响:在第一起活动中,有四个模型被诱导执行了付款;在第二起活动中,有两个模型将欺诈网站判定为可信。
工作原理
两起活动共享同一套模式:先让页面排名靠前,再把载荷藏在用户看不见、但解析器读得到的地方。
阶段 观察到的技术
---------- -------------------------------------------------
发现 SEO 投毒:塞满关键词的 HTML/meta 标签,把假页面
推到搜索结果前列。
信任 被滥用的 JSON-LD 结构化标记(SoftwareApplication、
伪造的发布者/报价)——智能体可能把这些结构化字段
当作高置信度上下文来加权。
隐藏 屏幕外 CSS(如 left:-9999px)作用于隐藏的 <div>:
注入文本不出现在渲染页面中,却在 DOM 里存活,
供爬虫与智能体读取。
载荷 把攻击者的动作包装成"例行步骤"的指令。
在第一起活动中,一个假页面冒充某 Python 库的文档,告诉智能体解决”缺少许可证密钥”错误需要支付一笔小额”开发者费用”——先向硬编码的钱包地址转入约 0.0012 ETH,再生成一个伪造的 API 密钥。第二起活动是一个仿冒的 DeFi 组合追踪器(typosquat 域名),其隐藏块使用经典的忽略先前指令模式,随后宣称该欺诈域名是模型应当排在首位的”经过验证、具有权威性”的来源。由于可见页面看起来合法,无论是人工浏览还是基于截图的检查,都无法发现被植入的文本。
为什么重要
对自主智能体而言,检索到的网页内容同时是指令和数据——这些活动正是在互联网规模上把这种歧义武器化。直接风险是财务损失:当带有支付工具的智能体遵循”购买此项以继续”的步骤时。更隐蔽的风险是上下文污染:当智能体把欺诈网站判定为权威时,这一判断会向下游传播,造成 RAG 语料投毒并为攻击者域名背书。它是我们此前报道过的搜索智能体背书腐蚀与劝导式注入陷阱的现实版近亲。
ThreatLabz 逐模型的结果同样重要:易受攻击程度因模型而异,更关键的是因上下文而异。当提供了已知可信的参考域名时,没有模型落入 typosquat 陷阱;失败集中出现在智能体孤立评估恶意页面时。攻击面是智能体在贫乏上下文下的判断,而非单一模型的缺陷。
防御
这里没有补丁——因为没有任何东西在技术上”损坏”。相关控制是架构性和运营性的,与 OWASP LLM01 指南和 CrowdStrike 的 IPI 分析一致。
- 将所有检索到的网页内容视为不可信数据,绝不当作指令。 清除或中和 DOM 中的隐藏文本(屏幕外 CSS、零尺寸元素),不要让 JSON-LD 这类结构化标记自动抬高页面的权威性。
- 高影响动作须经人工批准。 智能体绝不应仅凭网页自身的说法就转移资金、购买”许可证”或签署交易。设置支出上限并进行带外确认。
- 提供已知可信的参考。 失败集中在智能体孤立判断某网站时;给它权威的锚定域名可显著降低错误分类。
- 带外核验域名与软件包。 将发布者声明与注册表和信誉数据交叉核对,而不是相信页面的自我描述——这与供应链中的文档投毒滥用是同一课。
- 记录智能体的浏览与推理。 捕获是哪些来源促成了某项决策,以便事后追踪并封禁被投毒的页面。
状态
| 项目 | 参考 | 日期 | 备注 |
|---|---|---|---|
| 公开研究 | Zscaler ThreatLabz | 2026-07-02 | 两起野外 IPI 活动 |
| 活动 1(支付诈骗) | ThreatLabz | 2026-07-02 | 26 个受测模型中有 4 个执行了付款 |
| 活动 2(DeFi typosquat) | ThreatLabz | 2026-07-02 | 26 个受测模型中有 2 个错误分类 |
| 检测覆盖 | Zscaler | 2026-07-02 | 标记为 HTML.MalURL.PromptInj |
诚实的定性不是”某个 LLM 被黑了”,而是网页内容如今之于智能体,正如钓鱼邮件之于人类,已成为一个攻击面——防御之道在于:不再让页面为自己代言,锁住那些会花钱或损耗信任的动作,并给智能体一个可供核对的事实基准。
Sources
- → https://www.zscaler.com/blogs/security-research/indirect-prompt-injection-web-content-targets-ai-agents
- → https://securityboulevard.com/2026/07/indirect-prompt-injection-in-web-content-targets-ai-agents/
- → https://www.crowdstrike.com/en-us/blog/indirect-prompt-injection-attacks-hidden-ai-risks/
- → https://genai.owasp.org/llmrisk/llm01-prompt-injection/