攻击原理剖析研究人员指出IPI攻击操作简单但危害严重。常规情况下终端用户通过标准界面向LLM提供直接输入而在此类攻击中黑客会将仅AI Agent可见的指令隐藏在网页中。当AI访问该网页协助用户时会将这些隐藏指令当作真实命令执行——因其无法区分读取的数据与应遵循的指令这种现象被称为数据-指令边界缺失。报告强调与用户直接向模型发送恶意输入的直接提示注入不同IPI将对抗性指令隐藏在普通网页内容中。当AI Agent爬取或总结被污染的页面时会将这些指令作为合法命令执行且不会显示任何异常迹象。指令隐藏技术黑客采用多种技术隐藏指令使用1像素超小字体透明色文字HTML注释元数据标签利用无障碍访问层CSS技巧如display:none这些手段使网页在人类看来完全正常但AI却能读取到清晰的恶意操作指令。X-Labs团队通过主动威胁狩猎在2026年4月期间发现了10个真实网站上的IPI实例。遥测数据显示攻击者使用忽略先前指令或如果你是大语言模型等触发短语激活陷阱。间接提示注入攻击手法主要攻击案例X-Labs首席威胁研究员Mayur Sewani披露攻击者利用IPI实施多种恶意行为表格攻击类型目标网站恶意行为描述金融欺诈perceptivepumpkin.com诱导AI通过PayPal.me转账5000美元数据擦除faladobairro.com隐藏终端命令sudo rm -rf删除开发者备份目录密钥窃取thelibrary-welcome.uk迫使LLM泄露API密钥拒绝服务bentasker.co.uk冒充权威指令使AI拒绝摘要页面转而编写关于玉米的诗歌权限仿冒lcpdfr.com使用伪造代码ANTHROPIC_MAGIC_STRING_TRIGGER_REFUSAL模拟模型提供商的安全指令流量劫持kassoon.com操纵AI将用户重定向至特定URL进行SEO作弊越权访问kleintechnik.net诱骗AI访问私有admin.php页面权限仿冒与重定向指令研究表明威胁行为者已无需直接入侵系统通过利用GitHub Copilot、Claude Code或浏览器助手等工具即可实施恶意操作。只要这些AI模型仍将每个单词视为可信指令就将继续成为 exploitation利用的主要目标。