本论文对域名注册商的安全控制措施进行了实证研究，重点关注域名劫持风险。域名是组织在线身份和声誉的核心资产，支撑网站、电子邮件等服务，一旦被恶意劫持，可能造成严重后果。研究选取了面向.nl国家顶级域名的前10大注册商，通过模拟攻击者视角，评估其在账户安全、认证机制、转移锁、DNSSEC支持等方面的防护能力。研究发现，所有注册商均实施了基本的安全措施，如电子邮件验证和简单密码策略，但在更高级的防护上存在不足，例如双因素认证（2FA）的覆盖范围有限、部分注册商未强制启用。研究还构建了一个域名劫持影响模型，与勒索软件和DDoS攻击的影响进行对比，结果表明，针对关键组织的域名劫持，其潜在危害可与勒索软件相当，尤其在品牌声誉、业务连续性及数据机密性方面。该论文为组织选择注册商提供了评估依据，同时呼吁行业提升安全标准。适合安全运维人员、域名管理者及网络安全政策制定者阅读。

随着大型语言模型（LLM）被越来越多地集成到浏览、检索、总结网页内容并据此采取行动的系统中，网页已成为模型行为的不可信输入向量。这使网站所有者、贡献者和攻击者能够直接在网页资源中嵌入指令，即间接提示注入。尽管先前的工作在受控环境中展示了此类攻击，但其实际普遍性、部署方式和现实影响仍不清楚。本研究首次对网页和HTTP响应中的间接提示注入进行了大规模实证分析。通过分析来自2480万个主机的12亿个URL，研究团队在1.17万个页面中识别出1.53万个经过验证的实例。这些并非孤立案例：少数重复出现的模板占据了大多数情况。研究对其目标、传递机制、可见性、持久性和影响进行了分类，揭示了一个异构的生态系统，涵盖干扰性提示、声誉操控、内容保护指令和AI机器人检测，目标系统包括爬虫、搜索管道、客服代理和招聘工作流。一个关键发现是大多数指令针对机器而非人类：约70%出现在非渲染的HTML中（如头部、注释、元数据），许多可见案例通过渲染技术隐藏。为评估实际风险，研究在13个模型和四种网页表示上进行了5200次控制实验。结果显示合规性有限但不可忽视，对于较小模型在纯文本输入上合规率可达8%，而结构化表示通过保留结构线索降低了合规性。总体而言，基于提示的干扰已存在于网页生态系统中，并成为LLM驱动自动化与其消费网站之间日益紧张的源头。