AI提示词注入攻击已成现实——宏指令成为最新隐形威胁

攻击者正通过将恶意提示嵌入文档宏来攻击AI系统 ，提示从而演变出新的词注成现成恶意软件投递手法。

攻击者越来越多地利用生成式AI，入攻通过在宏中嵌入恶意提示，击已并借助解析器暴露隐藏数据  。实宏

根据OPSWAT最新的指令最新《文件安全现状》研究，AI安全专家认为 ，隐形这种对抗性策略的威胁变化要求企业将已在软件开发流水线中采用的保护措施，同样应用到AI环境中 。提示

恶意宏嵌入
：新型提示注入

Fortra的词注成现成首席数据科学家Roberto Enea告诉记者：“总体而言 ，这类‘嵌入宏中的入攻恶意提示’是免费模板另一种提示注入手法
。在此案例中 ，击已注入发生在文档宏或VBA脚本中 ，实宏针对分析文件的指令最新AI系统。”

Enea补充道 ：“通常 ，隐形攻击的最终目标是误导AI系统将恶意软件误判为安全。”

HackerOne的员工创新架构师Dane Sherrets表示，将恶意提示嵌入宏是生成式AI能力被反向利用的典型案例 ：“这种手法利用宏进行提示注入，输入欺骗信息 ，使大型语言模型(LLM)产生非预期行为，源码库可能导致系统泄露敏感数据或让攻击者获得后端访问权限
。”

零点击提示注入

今年早些时候 ，针对生成式AI的漏洞与恶意软件开始出现。

例如，Aim Security研究人员发现了EchoLeak(CVE-2025-32711) ，这是微软365 Copilot的零点击提示注入漏洞，被称为首个针对AI智能体的攻击。Stratascale网络安全服务副总裁Quentin Rhoads-Herrera解释
：“攻击者可以在常用业务文件(如邮件、Word文档)中嵌入隐藏指令，当Copilot处理文件时 ，这些指令会自动执行。”

微软建议通过打补丁、源码下载限制Copilot访问、清理共享文件中的隐藏元数据以及启用内置AI安全控制来应对该漏洞。

另一类似攻击CurXecute(CVE-2025-54135)则可通过软件开发环境中的提示注入实现远程代码执行。Aim Labs的研究主管Itay Ravia指出 ：“攻击者会不断寻找隐蔽的地方嵌入提示注入 ，宏只是最新趋势之一
。”

AI反制工具遭“绝地心灵术”

2025年6月发现的“Skynet”恶意软件尝试对AI安全工具进行提示注入  ，试图让AI恶意软件分析系统误判样本无恶意，通过类似“绝地心灵术”的方式欺骗AI。Check Point的服务器租用研究人员认为，这很可能只是恶意软件开发者的概念验证实验。

Rhoads-Herrera指出：“已有概念验证攻击通过隐藏在文档、宏或配置文件中的恶意提示，诱使AI系统泄露数据或执行非预期操作
。”

隐蔽且系统性的威胁

SplxAI的红队首席数据科学家Dorian Granoša表示
，提示注入已成为“隐蔽且系统性的威胁”。攻击者会利用极小字体 、背景匹配文本、Unicode标签ASCII走私 、模板下载解析时注入宏、甚至文件元数据(如DOCX自定义属性 、PDF/XMP 、EXIF)隐藏指令
，这些内容虽能规避人工审查，却会被LLM完全解析执行，实现间接提示注入。

防护措施

Seclore的数据安全主管Justin Endres认为  ，安全负责人不能仅依赖传统工具防御“将日常文件变为AI木马”的恶意提示 。他建议 ：

• 在文件进入企业环境前进行深度检测
，尤其是来自不可信来源的文件，可使用沙箱、建站模板静态分析和行为模拟工具
。

• 实施宏执行隔离策略，如应用沙箱或微软受保护视图  。

• 评估内容解除与重建(CDR)工具 ，清除嵌入威胁 ，尤其针对PDF 
、Office文件等结构化文档。

• 对生成式AI系统的输入进行清理 。

• 设计AI系统具备“验证”组件，对输入进行审查并设置安全护栏。

• 制定AI输出验证的明确协议。

Stratascale的Rhoads-Herrera指出，最有效的防护依赖可见性、治理和安全护栏。SOCRadar的CISO Ensar Seker建议，企业应将AI流水线视同CI/CD流水线 ，将零信任原则扩展到数据解析与AI工作流中，包括引入护栏、执行输出验证、使用上下文过滤阻止未经授权指令 。Seker强调：“我强烈建议CISO和红队立即开始测试AI工作流对抗对抗性提示攻击
，抢在威胁成为主流之前
。”