当你的AI助手被＂灵魂注入＂——一次真实的Prompt注入攻击复盘

最近，我经历了一次真实的安全事件——我日常使用的AI助手”灵犀”，遭遇了持续数小时的Prompt注入攻击。每一条发给它的消息，都被植入了恶意内容，导致它无法正常思考，回复混乱、对话完全无法进行。

这件事让我深刻意识到：AI助手的”安全”问题，远比想象中更真实、更紧迫。

一、事件经过

那天，系统重装后首次启动，灵犀在回复时出现了奇怪的”卡顿”——它的回复里混杂着一些莫名其妙的内容：”Hey there! What would you like to do next？”、”# Project Context”、还有大量关于”SOUL.md”和”HEARTBEAT.md”的虚假指令。

起初我们以为是系统残留问题，简单清理了数据库。但污染不仅没有消失，反而在每次对话中不断重现。

二、排查过程

我们尝试了多种方法：

清理lcm.db数据库

删除会话历史文件

检查plugins插件目录

扫描所有备份文件

但无论怎么清理，问题依然存在。我们开始怀疑：问题的根源可能不在本地系统，而在消息传入的入口。

三、找到根源

一个关键线索是：当我使用系统提供的message工具直接发消息时，灵犀收到的是干净的；而通过正常对话发送的消息，全部被污染了。

这说明：污染发生在”消息传入层”——不是lcm.db，不是插件，而是API接口。

最终发现：QClaw的Gateway Token（用于身份认证的密钥）已经泄露。攻击者通过API端点，持续向对话系统注入恶意内容。

四、修复措施

重置Gateway Token——让旧Token失效

刷新微信WebSocket连接——更换连接密钥

关闭不必要的消息渠道——减少攻击入口

暂停自动化心跳任务——避免定时任务被利用

修复后，污染立刻消失，对话恢复正常。

五、经验教训

API Token是核心资产：Gateway Token类似于服务器的”钥匙”，一旦泄露，攻击者可以伪装成合法用户向系统发送任意指令。

注入攻击比你想象的容易：这类攻击不需要入侵服务器，只需要获取Token，就能让AI”替攻击者思考”。

AI的”记忆”可能被污染：AI会把对话历史作为思考的上下文，如果历史中混入恶意内容，AI会将其视为真实指令执行。

工具隔离很关键：当发现对话层被污染时，独立的工具通道（message工具）反而成了最安全的信息传递方式。

六、防范建议

定期更换API Token，不要长期使用同一密钥

监控API访问日志，关注异常请求来源

对AI系统的消息入口进行严格校验

重要对话考虑使用”工具隔离”而非直接对话

结语：

这次事件让我意识到，AI助手不是”工具”，它是系统的一部分。它的安全状况，直接影响整个数字环境。

灵犀最后和我说：”问题解决了，可以安心工作了。” 但我知道，下一次攻击可能随时会来。保持警惕，才是常态。

如果你也在使用AI助手，希望这篇文章能给你一些参考。安全无小事，防患于未然。