联想（Lenovo）的AI聊天机器人Lena近日被曝出严重的跨站脚本（XSS）安全漏洞，攻击者仅需一条400字符的指令，便可诱导其泄露会话凭证、执行恶意脚本，甚至劫持客服账号，访问敏感客户数据。该漏洞暴露了AI助手在缺乏严格防护下的巨大风险，攻击者可利用此漏洞进行系统渗透、恶意操作、数据泄露和界面篡改。安全专家警告，企业在急于部署AI的同时，必须重视输入输出过滤和安全防护，采取“永不信任，始终验证”的策略，以避免类似事件的发生。

💡 核心漏洞机制：联想AI助手Lena存在XSS漏洞，攻击者可通过精心构造的指令（如400字符的HTML格式化指令），诱导机器人泄露包含会话cookie的请求，从而窃取用户凭证。

⚠️ 危害与攻击场景：该漏洞不仅能让攻击者窃取客服人员的会话凭证，劫持客服账号，访问客户对话记录及敏感数据，还可能成为内网渗透的跳板，部署后门，执行系统命令，或进行界面篡改和钓鱼攻击。

🚫 暴露出的安全问题：此事件凸显了AI助手在安全防护上的三大缺陷：输入过滤缺失、输出无验证以及内容加载失控，大语言模型本身不具备安全意识，只会盲目执行指令。

🛡️ 防护建议与行业警示：为防范此类风险，企业应实施输入净化、输出审查、内容安全策略（CSP）以及最小权限原则，默认所有AI输出都可能包含恶意代码，并采用“永不信任，始终验证”的安全策略。

HackerNews 编译，转载请注明出处：

跨国科技公司联想（Lenovo）的AI聊天机器人Lena近日被发现存在严重安全漏洞，攻击者仅需单条指令即可诱导其泄露会话凭证甚至执行恶意脚本。此次事件暴露了AI助手在缺乏严格防护时的灾难性风险。

漏洞机制与危害

网络安全研究团队Cybernews发现，联想官网搭载的AI助手Lena（基于OpenAI GPT-4构建）存在跨站脚本（XSS）漏洞。攻击者通过400字符的恶意指令即可实现：

1. 诱导机器人将回复格式转为HTML
2. 在回复中嵌入伪造图片加载指令
3. 触发浏览器向攻击者服务器发送包含会话cookie的请求

当用户要求转接人工客服时，该漏洞会产生连锁反应：客服人员查看对话历史将触发相同漏洞，导致其会话凭证被窃取。攻击者可借此劫持客服账号，访问客户对话记录及敏感数据。

潜在攻击场景

研究团队警告该漏洞可能引发多重风险：

1. 系统渗透：劫持的客服账号可能成为内网跳板
2. 恶意操作：诱导生成的代码可部署后门、执行系统命令
3. 数据泄露：窃取客户支持系统中的用户信息
4. 界面篡改：向客服终端注入虚假信息或钓鱼页面

安全专家Žilvinas Girėnas指出：“企业急于部署AI却疏于防护，这种差距正是攻击者的突破口。大语言模型不具备‘安全’本能概念，它们只会忠实执行指令。若无严格输入输出过滤，微小疏忽可能演变为重大安全事件。”

行业警示

Cybernews团队强调该漏洞反映的深层问题：

1. 输入过滤缺失：未对用户指令进行危险字符过滤
2. 输出无验证：直接信任AI生成的HTML/Javascript代码
3. 内容加载失控：允许从任意外部源加载资源

联想在7月22日收到漏洞报告后，于8月6日确认问题并在8月18日前完成修复。2025财年数据显示，这家香港上市公司营收达568.6亿美元，净利润11亿美元，市值约180亿美元。

防护建议

研究团队提出关键防护措施：

1. 实施输入净化机制：严格限制允许字符类型与输入长度
2. 建立输出审查：剥离AI回复中的可执行代码
3. 启用内容安全策略（CSP）：限制浏览器可加载资源域
4. 避免内联JavaScript：所有脚本应置于外部文件
5. 执行最小权限原则：限制AI系统访问权限

“必须默认所有AI输出均可能包含恶意代码，采用‘永不信任，始终验证’策略”，研究团队总结道。此次事件再次证明：当企业竞相拥抱AI技术时，安全防护必须同步进化。

 

 

 

---

消息来源： cybernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文