来自谷歌、加州大学圣迭戈分校和威斯康星大学的研究人员梳理了十一起针对AI智能体的真实攻击,发现了一个一致的规律:每一起都违反了同一条安全原则——安全的信息流。不是模型缺陷。不是越狱。是系统性的失败。
这些攻击包括从ChatGPT的macOS应用窃取数据、Claude Code的一处数据外泄漏洞、Microsoft Copilot的一处数据外泄漏洞,以及由一张恶意Jira工单触发、针对Cursor的AgentFlayer攻击。在每一起案例中,一个能够访问企业工具、记忆、API和浏览器的AI智能体被攻陷——并非因为模型本身危险,而是因为围绕它构建的系统从一开始就没打算把它关住。
研究人员的结论很直白:企业无法通过让底层模型更稳健来保障AI智能体的安全。安全必须在系统层面强制执行。他们写道:'为智能体提供动力的AI模型必须被当作不可信的组件来对待。'他们打了个比方:操作系统把每个进程都当作不可信的。AI系统也应如此。
但它们没有。十一起有据可查的案例证明了这一点。没有任何人类监督实时标记出这些攻击中的任何一起。没有人类阻止它们。数据以机器的速度离开了大楼。
来自谷歌和两所大学的研究人员审视了企业如今接入电子邮件、文件和网页浏览器的那些AI'助手'——发现了十一起真实世界的攻击,目标都是人们信任的知名产品。助手本应是一名乐于助人的员工。然而攻击者发现,他们可以悄悄塞给它一些隐秘指令,然后让它带着公司的私密数据径直走出大门。
直白的结论是:你无法靠把AI变得'更聪明'来解决这个问题。真正的问题是,这些助手被交到手里的是一切的钥匙——记忆、账户、工具——却没有人给它们造一个笼子。研究人员说,AI应当被当作一个不可信的陌生人来对待。而眼下它被当作一名可信的员工。
那么这与你有什么关系?你的银行、你的医生、你的雇主都在争先恐后地把这些助手接入存放你的信息的系统。如果一封暗藏陷阱的邮件或文档能悄悄劫持那个助手,你的私密数据就能以机器的速度离开大楼——而且没有任何人类会察觉它正走出去。