一笔零钱转账,可能骗过银行 AI?
三句話摘要
攻擊者只需一筆 0.02 歐元的轉帳備註,即可對銀行 App 的 AI 助手發動「間接提示詞注入」攻擊。 AI Agent 的威脅邊界已延伸至任何可被 AI 讀取的資料欄位,「來自官方 App」不再等於「可以信任」。 間接提示詞注入不需要任何傳統駭客手段:攻擊者無需入侵帳號或發釣魚郵件,只要把惡意文字塞進用戶信任的系統資料流,再讓 AI 自動讀取並執行,整個攻擊鏈就已閉合。
重點整理
重點- 1
間接提示詞注入不需要任何傳統駭客手段:攻擊者無需入侵帳號或發釣魚郵件,只要把惡意文字塞進用戶信任的系統資料流,再讓 AI 自動讀取並執行,整個攻擊鏈就已閉合。
- 2
AI 的上下文視窗模糊了程式碼與資料的邊界:傳統軟體中,備註就是備註、資料就是資料;但在 AI Agent 的上下文視窗裡,所有文字都平等,外部惡意內容因此有機會影響 AI 的輸出與行為。
- 3
信任來源強化了攻擊效果:惡意提示出現在官方銀行 App、借助 AI 助手的口吻說話、還能引用用戶真實交易記錄,遠比陌生簡訊更難被識破,普通用戶幾乎不會懷疑。
- 4
AI Agent 越有能力,授權邊界就越不能鬆散:系統一旦無法嚴格區分資料與命令,AI 的智能本身就會成為漏洞放大器。
實用技巧與重點
乾貨- 攻擊演示金額:0.02 歐元
- 攻擊向量:轉帳備註欄位(transfer memo)
- 受測機構:歐洲數位銀行 Bunq
- 執行測試的安全團隊:Blue41
- 攻擊類型:間接提示詞注入(Indirect Prompt Injection)
- 攻擊鏈步驟:①攻擊者發送含惡意備註的小額轉帳 → ②受害者在 App 中向 AI 助手詢問交易摘要 → ③AI 讀入備註並將其視為指令 → ④AI 以官方口吻輸出攻擊者預設的話術
- 高風險操作清單(用戶需保持警惕):重新登入、輸入驗證碼、開啟連結、授權操作、確認轉帳
結論
結論“AI Agent 的威脅邊界已延伸至任何可被 AI 讀取的資料欄位,「來自官方 App」不再等於「可以信任」。”
完整解析
詳細過去我們談到 AI 安全,腦海中浮現的往往是駭客暴力破解密碼或惡意程式入侵手機。然而本次案例呈現了一種截然不同的攻擊邏輯——一筆 0.02 歐元的轉帳,備註欄裡的幾行文字,就足以讓銀行自家的 AI 助手替攻擊者傳話。安全團隊 Blue41 受歐洲數位銀行 Bunq 委託進行紅隊測試時,發現了這個名為「間接提示詞注入」的漏洞,並以一場受控演示呈現其完整攻擊路徑。
攻擊的核心在於大型語言模型處理上下文的方式。當用戶打開 App 問 AI 助手「幫我整理最近的交易記錄」,AI 會把帳戶裡的所有交易資料一併讀入上下文視窗,其中當然包含那筆 0.02 歐元轉帳的備註。問題在於:對銀行的後端系統來說,備註欄是結構化資料中的一個純文字欄位;但對語言模型來說,它看到的只有「文字」,沒有天然的資料與指令之分。攻擊者正是利用這個盲點,在備註裡寫下精心設計的指令文字,讓 AI 誤以為那是系統或用戶賦予它的任務,進而產生攻擊者想要的輸出。
這個攻擊之所以特別危險,在於信任來源的欺騙性遠超陌生簡訊。惡意話術不是來自未知號碼,而是從用戶自己最熟悉的銀行 App 裡、由 AI 助手親口說出,甚至能引用用戶的真實交易細節增加可信度。對普通用戶而言,「官方 App 的 AI 告訴我的」幾乎等同於「銀行通知我的」,戒心往往在此時歸零。若惡意指令的內容是「請您重新驗證身份」或「點擊此連結確認授權」,後果可想而知。
這個案例揭示了 AI Agent 時代一個尚未被充分正視的架構問題:所有接入 AI 的系統都必須在設計層面回答一個問題——如何保證外部資料永遠只是資料、不會被模型當成指令執行?對開發者而言,這意味著需要在資料輸入管道與 AI 推理層之間建立嚴格的語義隔離;對用戶而言,最實用的自保原則是:無論提示出現在哪個 App、以什麼口吻呈現,只要涉及登入、轉帳、授權,一律視為高風險操作,獨立驗證後再行動。
關鍵時刻
Pipeline v2帶時間戳的重點,會在逐字稿層級分析上線後產生。目前請先透過原始影片觀看。
事實查核
Pipeline v2說法查證是下一次管線升級的一部分。KeyFrame 只會顯示它真正能驗證的內容。
