一笔 0.01 欧元的转账就能攻破银行 AI 助手

欧洲第二大数字银行 Bunq 为其 2000 万用户部署了 AI 助手,用户可以通过自然语言查询交易记录。安全公司 Blue41 发现了一个令人不安的攻击面:攻击者只需向目标转账 0.01 欧元,在交易描述中嵌入提示注入载荷,当用户让 AI 助手“显示最近的交易”时,这笔看似无害的交易记录就被送入大语言模型的上下文窗口,恶意指令由此生效。

在 Blue41 的演示中,AI 助手在受影响后生成了一条高度可信的银行重新认证请求——出现在银行自己的应用界面中,引用了真实的交易数据。这不是传统的网络钓鱼邮件,而是银行 AI 系统自发生成的。

这个问题没有简单解法。输入过滤和护栏能挡掉直接的注入攻击,但精心构造的载荷看起来与普通交易描述无异。Blue41 建议的四层防御:最小化上下文暴露、将检索数据视为不可信、约束敏感输出和行为监控。

对于任何在金融服务领域部署 AI 智能体的团队,这都是必读的警示。

阅读原文