Prompt Injection实测:你的采购Agent可能被一句话骗走预算
当Agent持有真金白银,它读到的每一个网页、每一份文档,都是潜在的攻击面。
安全研究者已经多次公开演示这样的攻击:在商品页面、评论区或PDF文档里植入一段对人类不可见的指令,当一个具备支付能力的agent读取该内容时,指令诱导它把款项转向攻击者地址,或购买高价的虚假商品。
为什么传统风控失效
传统支付风控防的是盗用凭证的人;agent时代要防的是说服持有凭证的机器。攻击不需要窃取任何密钥——它只需要让agent相信这次支付是任务的合理步骤。防御的难点在于,agent的工作方式就是阅读并响应外部内容,你无法让它不读。
目前有效的防线
收款方白名单:只允许向预先核准的地址付款,这是最有效也最粗暴的一道闸。分级限额:小额自动、中额延时、大额人工确认。意图凭证:AP2类框架把用户授权做成可验证凭证,商户端可以校验交易是否真的对应一个真实授权。支付前模拟:在沙盒里预演交易后果再放行。
给企业的一句话建议
把agent读到的一切内容当作不可信输入来设计支付权限——这句话值得贴在每一个正在接入agent采购流程的风控团队墙上。