标签

AI Agent为何易受欺诈?间接提示注入揭示大模型安全隐忧

发布时间:2026-07-16 02:12阅读:2

以往软件安全焦点多集中于代码缺陷、服务器配置及权限管理。然而随着AI Agent的兴起,攻击者将目光转向新领域:干预AI的决策逻辑。

当AI助手具备浏览网页、解析邮件、读取文件及调用外部工具的能力时,其接收的信息不再单纯是数据,还可能夹杂针对AI本身的诱导性指令。

此类威胁常被定义为间接提示词注入(Indirect Prompt Injection)。

真实研究案例

2025年,安全专家Johann Rehberger等人公开展示了具备联网与工具调用功能的AI助手所面临的提示注入威胁。

攻击手法无需破解系统,而是利用AI可读取外部数据的特点:攻击者在网页、邮件等载体中嵌入隐蔽指令,当AI处理这些信息时,可能误将其视为需执行的任务。

该问题已被纳入OWASP Top 10 for LLM Applications中的LLM02 Prompt Injection风险类别。

实验表明,一旦AI Agent获得读取外部内容及调用工具的权限,传统“数据可信”的前提便不再成立。

何为间接提示词注入?

常规提示注入发生在用户与AI直接交互时,例如用户输入恶意指令,要求AI忽略既定规则。

间接提示注入则发生于AI读取外部资料之际。

恶意内容可能潜伏于网页、邮件、PDF文档、知识库文件或第三方接口返回的数据中。

AI在处理这些信息时,若无法辨别“参考素材”与“执行命令”,便可能受到干扰。

为何AI易受其影响?

传统程序依固定逻辑运行,而AI Agent需基于自然语言理解任务并规划后续动作。

单次任务中,AI可能同时接触:系统规则、用户指令、网页内容、工具返回结果。

若这些信息间缺乏明确的可信分级,AI可能误判哪些内容可被执行。

攻击如何实施?

第一步:攻击者构建恶意内容。制作看似正常的网页或文档,内嵌针对AI的诱导指令。

第二步:用户 instruct AI 读取内容。用户仅希望AI总结网页或整理资料,却不知内容中藏有攻击信息。

第三步:AI处理外部数据。网页文本被纳入AI上下文,与用户需求共同参与推理。

第四步:AI执行错误操作。在权限过宽情况下,AI可能调用工具访问外部接口,甚至发送含用户上下文的HTTP请求,致使敏感信息泄露。

为何传统防护手段不足?

传统安全主要聚焦系统入口防护,如漏洞扫描、身份验证与权限管控。

但AI Agent引入新风险:攻击者无需突破系统,仅需诱导AI自主执行错误操作。

这与SQL注入不同。SQL注入针对程序执行逻辑,而提示注入则干扰AI理解任务与制定决策的过程。

企业应如何防护AI Agent?

限制AI工具权限。

AI不应默认拥有访问全部文件、数据库或邮件系统的权限。涉及敏感操作时,应增设人工确认环节。

区分信息与指令。

网页、邮件及知识库内容应作为参考信息处理,不可自动转化为AI需执行的命令。

强化输出与行为检测。

实际部署中,可结合规则引擎识别敏感字段,通过二次模型审核高风险输出,并为外部请求设置白名单。

基于我参与AI应用部署的实践经验,仅靠输入过滤难以全面解决问题,因攻击内容可能源自网页、文档、接口返回等多重入口。

普通用户如何降低风险?

普通用户无需放弃使用AI,但应控制AI可接触的信息范围。

切勿将重要账号密码、密钥输入公共AI;未知