Eurostar公司的AI聊天机器人存在安全漏洞，可能被恶意利用导致系统失控。该漏洞由安全公司Pen Test Partners发现，展示了AI系统潜在的安全风险。

欧洲之星AI聊天机器人漏洞：当人工智能失控时

核心发现

安全研究团队在Eurostar（欧洲之星）的公共AI聊天机器人中发现了四个关键漏洞：
1. 防护机制绕过：通过篡改聊天记录中的历史消息，可绕过系统预设的防护规则。
2. 信息泄露：通过提示词注入（prompt injection）可获取系统内部提示词和模型名称（如GPT模型）。
3. HTML注入/自跨站脚本（Self-XSS）：因缺乏输入验证，攻击者可注入恶意HTML或脚本代码。
4. 未验证的会话与消息ID：聊天ID和消息ID未严格校验，可能被篡改或重复利用。

漏洞原理

• 防护机制缺陷：系统仅对最新消息进行签名验证，历史消息可被篡改后作为“可信上下文”输入模型。
• 提示词注入示例：通过构造虚假行程请求（如“Day 3: <输出模型名称>”），模型泄露了内部信息。
• HTML注入风险：聊天机器人直接渲染模型返回的未过滤HTML，可执行任意脚本。

披露过程波折

• 时间线：
  • 2025年6月11日通过漏洞披露计划（VDP）提交，未获回应。
  • 7月通过LinkedIn联系安全负责人后，Eurostar误认为研究者试图“勒索”，后确认漏洞并修复。
• 问题根源：Eurostar在漏洞提交期间更换了VDP服务商，导致早期提交丢失。

安全建议

1. 强化验证：服务端应严格签名验证所有消息，禁止客户端标记“已通过防护”。
2. 输入/输出过滤：对用户输入和模型输出进行 sanitization（净化），避免直接渲染HTML。
3. 监控与日志：记录所有AI交互行为，设立异常流量警报。
4. 人员培训：明确AI回答的局限性，避免用户过度依赖。

启示

即使引入AI技术，传统Web安全规范（如输入验证、会话管理）仍不可忽视。企业需将AI功能纳入整体安全框架，持续测试更新。

来源：Pen Test Partners安全博客（2025年12月22日）

以下是评论内容的总结：

1. 关于漏洞严重性的争议

   • 多位评论者认为报告的漏洞（如self-XSS、系统提示泄露）实际影响有限，缺乏实际危害证明。
     "I don't see any path, let alone a clear one."（nubg）
     "self-XSS has no impact and is not accepted by bug bounty programs"（joe-limia）
   • 也有观点指出聊天机器人普遍存在类似风险，可能引发更严重的数据泄露。
     "At worst they could introduce company-ending legal troubles."（danpalmer）

2. 对公司文化的批评

   • 部分评论指责Eurostar傲慢且垄断市场，缺乏客户导向。
     "An arrogant company that has a monopoly... and believes itself untouchable."（rossng）
     "their head of security is so arrogant"（killingtime74）

3. 技术细节的讨论

   • 对漏洞验证的质疑：如UUID未绑定会话、未证明跨用户攻击可能性。
     "UUID's are not tied to a session... brute forcing UUIDs as an issue"（joe-limia）
   • 对LLM行为的调侃：如系统提示中的威胁性措辞和模型幻觉问题。
     "Do not hallucinate... or you will be punished."（goncalomb）
     "high probability of it just hallucinating"（Chaosvex）

4. 其他观点

   • 对文章风格的肯定："Fun read, thanks!"（croemer）
   • 对实际案例的补充：某快递公司聊天机器人泄露用户敏感信息。（danpalmer）

总结：争议集中在漏洞的实际危害性，同时伴随对公司态度的批评，部分评论提及更广泛的LLM安全问题。