一筆 0.02 歐元轉帳就能讓銀行 AI 助理變釣魚共犯：bunq 滲透測試實錄

資安公司 Blue41 公開了替歐洲第二大數位銀行 bunq（用戶超過 2,000 萬）做安全測試的實錄，攻擊手法簡單得讓人發毛：攻擊者只要轉 0.02 歐元給目標，把精心設計的提示注入指令寫進轉帳備註欄，然後等。受害者哪天打開銀行 App 問 AI 助理一句再平常不過的「幫我看最近的交易」，助理把交易資料抓進脈絡時就會讀到備註裡的指令，乖乖照辦。

在受控示範中，被注入的助理對用戶發出了一則偽裝成銀行重新驗證要求的釣魚訊息。殺傷力在於出處：訊息出現在銀行自家 App 裡、出自銀行自家 AI 助理之口，還能引用真實交易明細與用戶個資來增加可信度，傳統「不要點陌生連結」的防詐教育在這個場景完全失效。間接提示注入的根本問題是：惡意指令根本沒經過使用者輸入，而是藏在助理後續讀取的外部資料裡——備註欄、郵件、網頁，到處都是投毒口。

好消息是這次是白帽先找到，bunq 已配合修補。攻擊面盤點下來相當嚇人：轉帳備註是任何人都能寫入、銀行系統一定會儲存、AI 助理幾乎一定會讀的欄位，等於天生的注入通道。本站今天研究版的 POISE 論文談的是代理人技能檔被下毒，兩件事指向同一個結論：代理人讀進來的每一個字，都得當成潛在攻擊載荷處理。

金融業搶著上 AI 助理的此刻，紅隊測試的優先級應該排在功能上線之前，而非之後。