多伦多大学揭示首个生成式AI蠕虫：大模型生态的“莫里斯”时刻

多伦多大学的研究人员联手康奈尔大学和以色列理工学院，成功演示了一种名为“Morris II”的自我复制人工智能蠕虫。该蠕虫能够通过对抗性提示词注入，在基于大语言模型（LLM）的智能体（Agent）生态中自主传播，实现窃取数据、发送垃圾邮件及绕过安全防护等恶意行为。

• ▶ 攻击范式转移：恶意软件已从传统的二进制代码演变为语义层面的“对抗性提示词”，利用LLM对上下文的信任实现零点击（Zero-click）传播。
• ▶ RAG架构的结构性弱点：该蠕虫利用检索增强生成（RAG）机制，将恶意指令持久化存储在数据库中，从而实现跨会话、跨用户的感染。
• ▶ 智能体生态的连锁反应：随着AI Agent通过API实现互联，单个节点的漏洞可能导致整个自动化工作流的系统性崩溃。

八卦洞察

我们正在见证生成式AI领域的“莫里斯时刻”。1988年的莫里斯蠕虫暴露了早期互联网的脆弱性，而Morris II则揭示了当前大模型架构中“指令与数据不分”的底层缺陷。在硅谷疯狂追求“Agentic Workflow”（智能体工作流）的当下，开发者往往默认LLM处理的外部输入是安全的。然而，这种蠕虫证明了：只要AI能够读取数据并生成下一步指令，它就具备了被武器化的潜力。这不仅仅是一个安全漏洞，更是对当前RAG和智能体协作模式的底层挑战。如果不能在语义层面建立有效的防火墙，未来的AI助手可能会成为企业内网中最危险的“内鬼”。

行动建议

1. 实施语义沙箱：开发者应在RAG流程中引入“输入清洗层”，利用专门的小模型对检索到的上下文进行恶意指令检测，而非直接喂给主模型。
2. 打破自动化闭环：针对涉及敏感数据（如邮件发送、数据库写入）的Agent操作，必须强制引入“人工确认（Human-in-the-loop）”机制，防止蠕虫自主扩散。
3. 零信任架构：企业在构建AI生态时，应将所有来自外部AI Agent的API调用视为不可信，并对输出结果进行严格的格式化校验和内容过滤。