提示注入:企业AI系统的致命漏洞
过去两年中,企业以前所未有的热情将大型语言模型(LLM)整合到客户支持、数据分析、软件开发和内部自动化流程中。
随着AI技术的广泛应用,另一种趋势也在加速形成——网络犯罪分子正在利用对LLM的假设与其实际特性之间的差距进行攻击。
2025和2026年,多个独立来源指出了相同的趋势:提示注入仍然是针对LLM系统最具影响力和广泛演示的攻击向量之一。OWASP LLM Top 10(2025)将提示注入列为LLM01,并将其识别为LLM特有漏洞中最关键的类别,这是该榜单连续第二次进行如此排名。OWASP的排名反映了LLM在可靠区分指令与数据方面仍然存在困难,使其易受精心设计的输入所操控。
CrowdStrike 2026年《全球威胁报告》(基于对超过280个追踪对手的前线情报)记录,2025年威胁行为者向超过90家组织的生成式AI工具注入了恶意提示,并利用这些注入生成窃取凭据和加密货币的命令。该报告明确指出:”提示已成为新的恶意软件。”AI支持的对手将整体攻击量同比增长了89%,而提示注入既作为入口点,又起到了倍增器的作用。
真实世界的案例展示了其实际影响。2024年8月,PromptArmor的研究人员披露了Slack AI中的一个提示注入漏洞,允许攻击者通过在公共频道放置恶意指令或将其嵌入上传文档中,从他们无权访问的私有Slack频道中提取数据,包括在私有开发者频道共享的API密钥。
2025年6月,Aim Security的研究人员披露了EchoLeak(CVE-2025-32711,CVSS 9.3),这是首个针对生产AI系统的已记录零点击提示注入漏洞,针对Microsoft 365 Copilot。通过发送单个精心设计的邮件,无需用户交互,攻击者就能导致Copilot访问内部文件并将其内容传输到攻击者控制的服务器。
这两个漏洞均已被修补。这些事件强调了提示注入不是一个理论弱点,而是一个实际、可重复的威胁,组织在规模化部署AI系统时必须解决。
近年来,提示注入技术经历了重大演变,现在针对多智能体架构、检索增强生成(RAG)管道、模型路由器和长期记忆能力。
企业面临的挑战:过度信任
企业部署LLM来处理指令、总结信息和触发自动化工作流,但LLM难以区分:
- 指令与数据
- 信息与上下文
- 上下文与元数据
- 用户意图与元数据
这为攻击者创造了直接或间接影响模型行为的机会。
现代提示注入技术
跨模型提示注入
企业使用LLM已成为常见实践。攻击者污染特定模型的输出,深知其他模型将处理这些内容。因此,污染会传播到所有AI系统中。
RAG供应链污染
攻击者创建恶意信息——文档、博客文章、GitHub README。然后等待这些恶意信息被企业RAG管道摄取,再将其用作攻击向量。
智能体劫持
AI智能体已发展到可以发送电子邮件、修改云基础设施、执行代码片段以及与内部企业系统交互的程度。只需一条指令就能使智能体以有害方式改变行为。
上下文溢出攻击
借助百万令牌的上下文窗口,攻击者在文档中放置恶意代码,希望LLM能够发现并执行它,从而覆盖之前的所有指令。
记忆污染
由于LLM中实现了长期记忆,攻击者可以注入永久重新配置其状态的指令。
模型路由器操控
企业越来越多地使用模型路由器在多个LLM之间进行选择。攻击者精心设计提示,强制路由到最弱或防护最少的模型。
为何这对企业领导者至关重要
提示注入不是理论问题。它直接影响:
- 面向客户的系统(聊天机器人、支持智能体)
- 内部副驾驶(开发工具、安全助手)
- 自动化工作流(工单系统、云运营、人力资源流程)
- 数据治理(RAG管道、知识库)
风险不再局限于”模型说了它不该说的话。”
在2026年,提示注入可以:
- 触发未授权操作
- 泄露敏感数据
- 破坏内部工作流
- 操控分析结果
- 改变业务逻辑
- 危及多智能体系统
攻击面已显著扩大。
企业现在应该做什么
1. 限制模型权限
限制模型能做什么,而不仅仅是应该做什么。
2. 区分不可信内容
将所有外部数据——包括RAG来源——视为潜在敌对内容。
3. 监控工具调用
对高风险操作要求人工批准。
4. 验证内容来源
确保RAG管道不摄取被污染的外部内容。
5. 强化模型路由器
防止攻击者强制路由到较弱的模型。
6. 将LLM视为不可信组件
这种思维转变是现代AI安全的基础。
核心要点
提示注入仍然是破坏企业AI系统最有效的方法,因为它利用了LLM解释文本的基本方式。只有当组织将LLM视为不可信的解释者——而非自主决策者时,提示注入才能继续主导AI威胁格局。
Julie Brunias是一位AI安全架构师。
关注微信号:智享开源,及时了解更新信息。
公众号:智享开源
还没有任何评论,你来说两句吧!