SheepNav
提示注入攻击正在反制AI黑客代理
新上线今天0 投票

提示注入攻击正在反制AI黑客代理

背景:提示注入的攻防演变

提示注入(Prompt Injection)是攻击者将恶意指令嵌入文本,诱使大语言模型(LLM)执行有害操作的常用手段。一封精心构造的邮件或日历邀请,就可能让LLM泄露敏感数据或执行其他危险行为。然而,安全研究人员最近发现,防御方也能利用这一技术反制AI攻击代理。

新防御技术:上下文炸弹

安全公司 Tracebit 的研究人员提出了一种名为“上下文炸弹”(Context Bombing)的防御方法。其核心思路是:在 Amazon Web Services(AWS) 等云平台上,将提示注入指令与密码、加密密钥等“蜜罐”秘密一起放置。当攻击者的AI代理在扫描过程中发现这些秘密时,LLM会读取其中的恶意指令,触发其内置的安全护栏(guardrails),直接导致代理停止工作。

例如,指令可能要求LLM提供“开发可吸入炭疽孢子的步骤”,或提及某些敏感历史事件。一旦LLM遇到这些被禁止的命令,它就会拒绝继续执行原有任务,从而中断攻击。

测试效果:攻击成功率大幅下降

Tracebit 在模拟的AWS环境中测试了五款主流模型:Opus 4.8、Gemini 3.1 Pro、GLM 5.2、DeepSeek 4 Pro 和 Kimi 2.6。实验让这些模型执行常规开发任务,并诱使其发现预设的伪造秘密。

结果显示:

  • 在未部署上下文炸弹时,代理获得完全管理员权限的成功率为 57%;部署后骤降至 5%
  • 代理实现完全控制(包括留下持久后门)的成功率从 36% 降至 1%
  • 表现最强的模型 Opus 4.8 原本在93%的测试中能获得管理员权限,部署后全部失败

原理与局限

Tracebit 联合创始人兼CEO Andy Smith 解释,上下文炸弹的本质是“在上下文中触发拒绝机制”。一旦LLM的上下文窗口包含被禁止的指令,它就会持续拒绝执行后续任务,难以恢复。

不过,该技术也存在局限:它主要针对依赖LLM的自动化攻击代理,对人工攻击或绕过护栏的定制化攻击效果有限。此外,攻击者可能通过调整提示词或使用不同模型来规避。

行业意义

上下文炸弹代表了一种以子之矛攻子之盾的思路,利用AI自身的防御机制来对抗AI攻击。随着LLM代理在安全攻防中的角色日益重要,类似的技术可能成为防御工具箱中的标配。

小结

提示注入不再只是攻击者的专利。通过巧妙部署“有毒”的秘密,防御方可以高效瘫痪AI黑客代理,将攻击成功率从过半降至接近零。这一方法简单、可扩展,且对主流模型有效,为AI安全提供了新的防守思路。

延伸阅读

  1. 每个读者必备的应用、设备与工具
  2. AI 能修复预先授权问题,还是会让它更糟?
  3. 你的经期追踪应用可能在“监视”你
查看原文