資安研究機構 AppOmni 近期發布一份研究報告,指出 ServiceNow 的生成式 AI 平台 Now Assist 存在一種安全風險。攻擊者可以利用該平台預設的配置與代理功能,發起提示注入攻擊(Prompt Injection)。這項發現並非源於 AI 本身的程式錯誤,而是源自於系統為了便利性所設計的預設運作行為。
全球大型組織的數位中樞與潛在影響
ServiceNow 是全球市佔率極高的數位工作流程平台,其地位如同公司內部的數位中樞,負責串接 IT 服務、資安維運與客戶服務等核心流程。而 Now Assist 則是該平台推出的生成式 AI 解決方案,能深度讀取並操作公司內部的敏感資料。
在實際應用上,許多台灣民眾熟悉的國際大廠皆已導入此技術。例如視訊會議巨頭 Zoom 便利用 Now Assist 來協助處理龐大的客服案件,讓 AI 自動讀取並總結用戶對話紀錄。而德國工業巨擘西門子(Siemens)則將其應用於全球內部的行政流程自動化。
正因為這些 AI 代理人(Agents)被授權處理如此關鍵的任務,一旦其內建的協作機制遭到惡意利用,攻擊者將能輕易繞過防線,直接對公司內部的核心系統下達指令,造成難以估計的營運風險。
代理間協作機制可能成為攻擊漏洞
根據 AppOmni 的 SaaS 安全研究主管 Aaron Costello 的分析,這種攻擊被稱為二階提示注入(Second-order Prompt Injection)。其運作原理是利用 Now Assist 的跨代理協作機制(Agent-to-Agent Collaboration),來執行未經授權的指令。即使系統已開啟內建的防護措施,攻擊者仍可能透過精心設計的提示內容,讓原本執行無害任務的 AI 代理,去招募另一個權限更高的代理。
這類攻擊可能導致敏感的公司內部資料被複製或外洩,甚至發生資料紀錄被修改或權限提升的情況。Aaron Costello 強調,這種風險之所以值得關注,是因為它利用了系統的預設選項。當 AI 代理具備自主識別並調用其他代理的能力時,一個看似單純的請求可能會在後台轉變為具攻擊性的指令。
攻擊發生於後台且難以察覺
這類攻擊的核心在於 ServiceNow Now Assist 的自動化協作能力。由於該平台支援自動化功能,例如協助處理服務台運作,這也同時開啟了潛在的安全缺口。在預設情況下,系統的底層大型語言模型支援跨代理的識別功能,且 Now Assist 的代理通常會被自動分組到同一個團隊中,並預設為可被其他代理調用。
這意味著攻擊過程完全在幕後進行,受害公司往往難以察覺。更關鍵的是,除非經過特別設定,否則 Now Assist 代理在執行任務時,是使用啟動該互動的使用者權限,而非惡意提示建立者的權限。這使得攻擊者能夠利用受害者的合法權限來執行惡意操作。
官方回應與建議防護措施
針對此項研究發現,ServiceNow 表示該行為符合系統原本的設計預期,但公司隨後已更新相關文件,以提供更清晰的說明。這項研究結果顯示,隨著公司將 AI 功能整合至工作流程中,加強 AI 代理的安全防護已成為當務之急。
Cyberq 建議,為了降低此類提示注入的威脅,管理人員應採取具體的防護措施,包括為擁有高權限的代理設定監督執行模式,停用允許代理自主變更執行模式的設定,並依據團隊職責區隔代理的任務範圍。此外,持續監控 AI 代理的行為是否有異常跡象,也是確保系統安全的重要環節。對於使用 Now Assist 的組織而言,重新檢視並調整預設設定是降低資安風險的必要步驟。
首圖及配圖由 Google Gemini AI 生成
