攻擊者正通過將惡意提示嵌入文檔宏來攻擊AI系統，從而演變出新的惡意軟件投遞手法。

　　攻擊者越來越多地利用生成式AI，通過在宏中嵌入惡意提示，并借助解析器暴露隱藏數據。

　　根據OPSWAT最新的《文件安全現狀》研究，AI安全專家認為，這種對抗性策略的變化要求企業將已在軟件開發流水線中采用的保護措施，同樣應用到AI環境中。

　　惡意宏嵌入：新型提示注入

　　Fortra的首席數據科學家Roberto Enea告訴記者：“總體而言，這類‘嵌入宏中的惡意提示’是另一種提示注入手法。在此案例中，注入發生在文檔宏或VBA腳本中，針對分析文件的AI系統。”

　　Enea補充道：“通常，攻擊的最終目標是誤導AI系統將惡意軟件誤判為安全。”

　　HackerOne的員工創新架構師Dane Sherrets表示，將惡意提示嵌入宏是生成式AI能力被反向利用的典型案例：“這種手法利用宏進行提示注入，輸入欺騙信息，使大型語言模型(LLM)產生非預期行為，可能導致系統泄露敏感數據或讓攻擊者獲得后端訪問權限。”

　　零點擊提示注入

　　今年早些時候，針對生成式AI的漏洞與惡意軟件開始出現。

　　例如，Aim Security研究人員發現了EchoLeak(CVE-2025-32711)，這是微軟365 Copilot的零點擊提示注入漏洞，被稱為首個針對AI智能體的攻擊。Stratascale網絡安全服務副總裁Quentin Rhoads-Herrera解釋：“攻擊者可以在常用業務文件(如郵件、Word文檔)中嵌入隱藏指令，當Copilot處理文件時，這些指令會自動執行。”

　　微軟建議通過打補丁、限制Copilot訪問、清理共享文件中的隱藏元數據以及啟用內置AI安全控制來應對該漏洞。

　　另一類似攻擊CurXecute(CVE-2025-54135)則可通過軟件開發環境中的提示注入實現遠程代碼執行。Aim Labs的研究主管Itay Ravia指出：“攻擊者會不斷尋找隱蔽的地方嵌入提示注入，宏只是最新趨勢之一。”

　　AI反制工具遭“絕地心靈術”

　　2025年6月發現的“Skynet”惡意軟件嘗試對AI安全工具進行提示注入，試圖讓AI惡意軟件分析系統誤判樣本無惡意，通過類似“絕地心靈術”的方式欺騙AI。Check Point的研究人員認為，這很可能只是惡意軟件開發者的概念驗證實驗。

　　Rhoads-Herrera指出：“已有概念驗證攻擊通過隱藏在文檔、宏或配置文件中的惡意提示，誘使AI系統泄露數據或執行非預期操作。”

　　隱蔽且系統性的威脅

　　SplxAI的紅隊首席數據科學家Dorian Granoša表示，提示注入已成為“隱蔽且系統性的威脅”。攻擊者會利用極小字體、背景匹配文本、Unicode標簽ASCII走私、解析時注入宏、甚至文件元數據(如DOCX自定義屬性、PDF/XMP、EXIF)隱藏指令，這些內容雖能規避人工審查，卻會被LLM完全解析執行，實現間接提示注入。

　　防護措施

　　Seclore的數據安全主管Justin Endres認為，安全負責人不能僅依賴傳統工具防御“將日常文件變為AI木馬”的惡意提示。他建議：

　　• 在文件進入企業環境前進行深度檢測，尤其是來自不可信來源的文件，可使用沙箱、靜態分析和行為模擬工具。

　　• 實施宏執行隔離策略，如應用沙箱或微軟受保護視圖。

　　• 評估內容解除與重建(CDR)工具，清除嵌入威脅，尤其針對PDF、Office文件等結構化文檔。

　　• 對生成式AI系統的輸入進行清理。

　　• 設計AI系統具備“驗證”組件，對輸入進行審查并設置安全護欄。

　　• 制定AI輸出驗證的明確協議。

　　Stratascale的Rhoads-Herrera指出，最有效的防護依賴可見性、治理和安全護欄。SOCRadar的CISO Ensar Seker建議，企業應將AI流水線視同CI/CD流水線，將零信任原則擴展到數據解析與AI工作流中，包括引入護欄、執行輸出驗證、使用上下文過濾阻止未經授權指令。Seker強調：“我強烈建議CISO和紅隊立即開始測試AI工作流對抗對抗性提示攻擊，搶在威脅成為主流之前。”