揭發 AI 代理的漏洞 (5-5):保護 LLM 服務

這是有關代理式 AI 漏洞議題的最後一篇文章,本文探討對 AI 代理造成威脅的各種新興漏洞,主要是提供主動式資安建議來防範程式碼執行、資料外傳以及資料庫存取等方面的漏洞。

大型語言模型 (LLM) 已日益成為現代化應用程式的一環,其安全性比以往更加重要。我們在先前幾篇文章已討論過可能對 AI 代理造成威脅的新興漏洞,主要聚焦在程式碼執行、資料外傳以及資料庫存取等領域。

本系列的最後一篇,我們將探討如何應對這些威脅所帶來的挑戰,以及我們為何需要嚴密的多層式策略來保護這些系統。本系列其他文章還有:

  • 第一篇:揭發 AI 代理的漏洞 ─ 介紹 AI 代理的主要資安風險,例如:提示注入與執行未經授權的程式碼,並摘要說明後續討論的議題架構,包括:資料外傳、資料庫漏洞攻擊,以及防範策略。
  • 第二篇:程式碼執行漏洞 ─ 探討駭客將如何利用 LLM 驅動服務的弱點來執行未經授權的程式碼、避開沙盒模擬環境的限制,以及利用錯誤處理機制的漏洞,進而導致資料外洩、未經授權的資料傳輸,以及取得執行環境的永久存取權限。
  • 第三篇:資料外傳:探討駭客如何利用間接提示注入,讓 GPT-4o 這類多模態 LLM 在遇到看似無害的惡意檔案時將機敏資料外傳。這種所謂的「零點選」(zero-click) 漏洞可讓駭客在網頁、圖片及文件中暗藏指令,誘騙 AI 代理洩露使用者互動記錄、上傳檔案,以及聊天記錄當中的機密資訊。
  • 第四篇:資料庫存取漏洞 ─ 探討駭客如何攻擊與 LLM 整合的資料庫系統,透過 SQL 隱碼注入、預先儲存的提示注入,以及向量儲存下毒來取得管制的資料,同時還能避開認證機制。駭客可利用提示篡改來影響查詢結果、取得機密資訊,或者插入永久性漏洞來影響未來的查詢。

防範程式碼執行漏洞

繼續閱讀

揭發 AI 代理的漏洞 (5-4):資料庫存取漏洞

駭客如何攻擊具備資料庫存取能力的 AI 代理?本文探討駭客如何利用 SQL 生成漏洞、預先儲存的提示注入,以及向量儲存下毒等手法來從事詐騙活動。

大型語言模型 (LLM) 服務有可能變成網路攻擊的入口嗎?可執行程式碼的 LLM 有可能被挾持用來執行有害指令嗎?Microsoft Office 文件中暗藏的指令能不能騙過 LLM,讓它洩漏敏感的資料?駭客有多容易篡改資料庫查詢敘述來取得管制的資訊?

這些都是 LLM 服務今日面臨的一些基本問題。本系列文章討論 LLM 服務的重大漏洞,深入揭發其看似聰明的回應底下所潛藏的威脅。

下載研究報告

Technical Brief
繼續閱讀

gov 網址也可能是假的?收到「普發萬元」簡訊別急著點!一眼看破真偽關鍵就在「這一點」

認明「.gov.tw」位置,看穿「假政府網站」破綻

近期詐騙集團利用政府普發新台幣 1 萬元的話題,冒用中央存保名義設立「申請現金 1 萬元」的假網頁。這些網站會要求您填寫姓名、信用卡號、有效期限及安全碼等敏感資訊,還聲稱是為了「確保正常發放發票與匯款作業」。
這種假借看似政府網址散播釣魚簡訊的手法並非新鮮事,這些假冒網站網址中夾帶了「gov」字樣試圖混淆視聽,比如假冒監理所的交通罰款簡訊詐騙中就經常出現,目的都是利用看似官方的網址,誘騙民眾點擊進入釣魚網站,引導你輸入個資或帳密,詐騙金錢或進行社交工程攻擊。別以為網址有「gov」就安全,教你三招快速分辨真假政府網站,避免落入詐騙陷阱!

⟫看答案

假冒「普發現金」詐騙手法更新,個資安全亮紅燈!

中央存保公司表示早在 7 月 18 日就發現這類假網頁,並立即向相關單位檢舉。然而,最近仍有不肖人士透過通訊軟體轉發這些假訊息。

詐騙簡訊內容:

詐騙集團冒用中央存款保險公司(存保公司)名義發送的普發萬元現金詐騙簡訊
詐騙集團冒用中央存款保險公司(存保公司)名義發送的普發萬元現金詐騙簡訊

去年(2024)稅收超徵5,283億元創新高,全民普發現金1萬元通過,申請連結:hxxps://cdic-gov.com/tw

如何分辨真假 gov 網址?

繼續閱讀

企業須留意!AI深偽助長高階主管、徵才流程與KYC詐騙

趨勢科技揭露採用深偽(deepfake)技術的網路犯罪劇本

【2025年7月10日,台北訊】全球網路資安領導廠商趨勢科技(東京證券交易所股票代碼:4704)今天發表一份新的報告,揭露採用深偽(deepfake)技術的網路犯罪規模和成熟度。隨著生成式AI工具變得更強大、更便宜、也更容易取得,駭客集團正迅速利用這些工具來支援各種攻擊,從商業詐騙、勒索,到身分盜用等。

請點選以下連結來閱讀這份完整報告「用深偽造假,直到成功為止:全面解析新式AI犯罪工具Deepfake it ’til You Make It: A Comprehensive View of the New AI Criminal Toolset

繼續閱讀

看A片會中毒嗎?70歲阿公告訴你親身經驗

線上免費看真划算?專家告訴你真相!

你是否曾在深夜追劇時,點進一個「免費看高清」的網站,或是點進某個流出片網站看A片?
當手機開始變慢、跳出奇怪廣告,你懷疑:「是不是中毒了?」這不是你一個人的困擾!

本文將帶你了解「盜版影片與A片」網站背後潛藏的資安風險,並告訴你如何用防毒軟體保護自己不被駭!

線上免費看盜版影片或 A 片,真的不值得拿手機安全去冒險!裝置中毒不只影響操作順暢度,更可能讓你的相簿、聯絡人、密碼、帳戶資料被偷光。

下一次看到小鴨影音、Gimy 劇迷、楓林網等聲稱「免費」追劇/流出影片的誘惑時,要如何避免背後的風險?

看A片會中毒嗎?線上免費看真划算?專家告訴你真相!
⭕️ 問:「看A片會中毒嗎?線上免費看真的會中毒嗎?」
 ⚠️ 答:這是一個很多人都會好奇但又不好意思問的問題,簡單來說:有可能,而且機率不低!
繼續閱讀