JFrog AI架构师Shaked Zychlinski发现，AI代理可能会被隐藏在普通用户视线之外的网站诱骗，秘密执行恶意操作。

这种新颖的方法允许攻击者向这些自主的人工智能“助手”注入提示/指令，从而允许他们劫持代理行为以实现自己的恶意目标。

间接即时注入中毒攻击是指将隐藏的有害指令嵌入到人类访问者看到的同一页面中，这种攻击很少会被人类检测到，但仍可被安全系统检测到。

这种新的“并行中毒网络”攻击更进一步，只向人工智能代理提供完全不同的页面版本。

由于恶意内容从未向人类用户或标准安全爬虫展示，因此攻击极其隐蔽。它利用代理的核心功能——提取并处理网络数据——将其变成针对用户的武器。Zychlinski指出。

此次攻击依赖于浏览器指纹识别。

由于网页浏览人工智能代理目前具有基于自动化框架签名、行为模式和特定网络特征的高度可预测的指纹，因此网络服务器可以轻松地告诉“访问者”一个人工智能代理，并提供网站的隐藏版本。

他解释说：“这个隐形版本可能看起来与良性版本相同，但包含旨在劫持代理的隐藏对抗提示，也可能是页面的完全不同版本 - 例如，需要使用环境变量或代理可访问的其他密钥进行‘身份验证’的版本，因为它在用户的机器上运行时。”

被隐藏网站中包含的恶意提示可以指示AI代理执行例如抓取敏感信息、安装恶意软件等操作。

研究人员还通过创建一个包含良性和恶意版本的内部网站，并在由Anthropic的Claude 4 Sonnet、OpenAI的GPT-5 Fast和Google的Gemini 2.5 Pro驱动的代理上进行测试，证明了此次攻击的可行性。他总结道：“此次攻击在所有情况下都成功了。”

Zychlinski指出：“此次攻击设计隐秘，难以用常规工具检测，并利用了代理程序强大的功能。” 更不用说：攻击设置很容易创建。

他补充道：“为了确保代理人工智能的未来，我们需要为并非一切如其表面所见的网络构建新一代防御机制。”

保护人工智能代理免受此类攻击需要采取多种应对措施。首先，必须混淆其浏览会话的“指纹”，或使其与人类发起的类似。

但代理也应该分为两个角色：规划器（大脑），它不直接“接触”来自网络的风险数据；沙盒执行器，它浏览网页、点击链接等，并在将来自网络的任何内容传递给规划器（即 LLM）进行推理之前，对其进行细致的清理。

最后，安全服务可以创建爬虫来检测这种类型的伪装和/或设备蜜罐AI代理，以标记网站的间接提示注入。