AI智能体可以为你购物、编程，甚至在消息应用中代你聊天。但要小心：攻击者可以利用恶意提示来诱骗AI智能体生成带有数据泄露风险的URL，而链接预览功能可能会自动抓取这些链接。

消息应用通常使用链接预览功能，该功能允许应用查询消息中的链接，提取标题、描述和缩略图，以替代显示纯URL。AI安全公司PromptArmor发现，链接预览可以将AI智能体生成的、由攻击者控制的URL转变为零点击数据窃取通道，使敏感信息在无需任何用户交互的情况下被泄露。

正如PromptArmor在报告中指出的，通过恶意链接进行的间接提示注入并不罕见，但通常需要受害者在AI系统被诱骗将敏感用户数据附加到攻击者控制的URL后点击链接。当同样的技术被用于在Slack或Telegram等消息平台内运行的AI智能体时（这些平台默认启用或在特定配置下启用链接预览），问题就变得严重得多。

"在具有链接预览功能的智能体系统中，数据窃取可以在AI智能体响应用户后立即发生，无需用户点击恶意链接，"PromptArmor解释说。

没有链接预览的情况下，AI智能体或人类操作员必须跟随链接，在AI系统被诱骗将敏感用户数据附加到攻击者控制的URL后触发网络请求。如前所述，这种类型的提示注入攻击可以通过诱骗AI智能体将信息附加到URL上来提取各种类型的敏感数据，如API密钥等。

由于链接预览会从目标网站提取元数据，整个攻击链可以在零交互的情况下完成：一旦AI智能体被诱骗生成包含敏感数据的URL，预览系统就会自动获取它。唯一的区别是数据泄露URL的发现位置——在这种情况下是在攻击者的请求日志中。

毫不意外的是，当在Telegram中使用默认配置时，被称为"氛围编码智能体AI灾难平台"的OpenClaw容易受到这种攻击。PromptArmor指出，可以通过更改OpenClaw配置文件中的设置来修复此问题，但从PromptArmor提供的数据来看，OpenClaw似乎不是最大的问题。

该公司创建了一个网站，用户可以测试集成到消息应用中的AI智能体，查看它们是否会触发不安全的链接预览。根据这些测试的报告结果，Microsoft Teams占预览抓取的最大份额，在记录的案例中，它与微软自己的Copilot Studio配对使用。其他报告的风险组合包括Discord配OpenClaw、Slack配CursorSlackbot、Discord配BoltBot、Snapchat配SnapAI，以及Telegram配OpenClaw。

报告显示较安全的设置包括Slack中的Claude应用、通过WhatsApp运行的OpenClaw，以及"在Docker中通过Signal部署的OpenClaw"（如果你真的想让事情变得复杂的话）。

虽然这是AI智能体处理链接预览过程中的问题，但PromptArmor指出，主要还是要靠消息应用来解决这个问题。

"这需要通信应用向开发者开放链接预览设置选项，智能体开发者则需要利用提供的设置选项，"这家安全公司解释说。"我们希望看到通信应用考虑在聊天/频道特定基础上支持自定义链接预览配置，以创建大语言模型安全频道。"

在此之前，请将此视为另一个警告：不要在机密性重要的环境中添加AI智能体。

Q&A

Q1：什么是通过链接预览的数据泄露攻击？

A：这是一种攻击者利用恶意提示诱骗AI智能体生成包含敏感数据的URL，然后通过消息应用的链接预览功能自动抓取这些数据的攻击方式。与传统攻击不同，这种攻击无需用户点击链接就能实现数据泄露。

Q2：哪些平台和AI智能体组合存在安全风险？

A：根据PromptArmor的测试结果，风险较高的组合包括Microsoft Teams配CopilotStudio、Discord配OpenClaw、Slack配Cursor Slackbot、Discord配BoltBot、Snapchat配SnapAI和Telegram配OpenClaw等。

Q3：如何防护这种攻击？

A：目前主要依靠消息应用提供商解决，建议通信应用向开发者开放链接预览设置选项，并支持聊天/频道特定的自定义链接预览配置。在解决方案出现之前，应避免在机密环境中使用AI智能体。