提示词成为了新的恶意软件,但企业的AI防御却是滞后的
在2026年全球威胁报告中,CrowdStrike报告显示,2025年有超过90个组织遭受提示注入攻击。注入的提示被用来生成命令,窃取凭证和加密货币。CrowdStrike指出,提示现在已起到恶意软件的作用。
同一份报告记载,AI支持的敌对行动同比增长89%,而82%的入侵未涉及传统恶意代码。这一数据出现之际,企业正从聊天机器人转向拥有邮件、代码、支付和文件共享访问权限的AI代理、副驾驶和浏览器自动化。
提示注入在OWASP大型语言模型应用程序十大漏洞中连续两个版本位居榜首,被列为LLM01。OWASP给出的原因很简单:语言模型无法可靠区分开发者编写的指令与从网页、邮件或文档中检索到的文本。这种模糊性已从研究兴趣转为运营漏洞,并有明确的攻击者、分配的CVE编号和前沿实验室的承认。
直接提示注入发生在用户输入覆盖系统提示时,即常见的告诉聊天机器人忽略先前指令的模式。间接提示注入是该缺陷的更棘手变体。攻击者将指令植入模型稍后将为他人读取的内容中。载体可以是邮件、Confluence页面、日历邀请、网页或上传的文档。用户永远不会看到载荷,攻击者从不与模型对话,而AI代理则执行植入的指令。
两起公开披露的事件说明了这一点。2024年8月,PromptArmor报告称,拥有Slack AI工作区访问权限的攻击者可以在不加入私密频道的情况下,从其窃取包括API密钥在内的数据。该攻击通过在公共频道或上传文件中植入指令实现。
次年,Aim Security披露了EchoLeak,追踪编号为CVE-2025-32711,CVSS评分为9.3。Aim将其描述为行业首次记录的生产环境AI系统零点击提示注入。一封特制的邮件即可使Microsoft 365 Copilot检索内部文件并转发至攻击者控制的服务器,无需用户任何交互。两个漏洞均已修补,但底层漏洞类别未变。
漏洞面此后在AI代理栈中扩大。发送邮件、修改云基础设施和执行代码的代理将其上下文窗口视为权威。RAG管道吸收被污染的网页和共享文档。长期代理记忆保留恶意指令,并在每次运行时浮现。在多个模型之间路由请求的企业可能被诱导选择最弱的路由。
2025年12月,OpenAI公开承认,提示注入如同诈骗和社会工程学,不太可能被完全解决。该公司还描述了其构建的一个强化学习攻击者,用于在野外出现前内部发现注入策略,这些发现将用于下一轮对抗训练。
Anthropic在其Claude Opus 4.6系统卡中披露了测量数据。一个图形界面代理在单次注入尝试中失败的概率为17.8%。在200次尝试中,无防护时成功率达到78.6%,在部署了已发布的防御措施后成功率为57.1%。谷歌另报告称,其针对Gemini部署的最有效攻击在对抗性微调后仍能继续成功53.6%的时间。
分析师社区已相应调整立场。Gartner在2025年12月告诉CISO,应封锁所有AI浏览器,包括ChatGPT Atlas和Perplexity Comet。该建议引用了间接提示注入、凭证暴露和缺乏成熟控制等因素。而Cyberhaven发现,27.7%的组织已有至少一名用户安装了Atlas。英国国家网络安全中心发布了平行警告,德国联邦信息安全局紧随其后。
提示注入抵抗标准防御手法,因为语言模型为指令和数据共享同一条文本通道。输入验证、输出过滤、基于签名的检测和补丁周期都依赖于在授权命令和不可信内容之间划清界限的能力,而这条界限在模型内部并不存在。
供应商提供的内置护栏仅处理最常见的模式,对长尾攻击几乎无效。基于分类器的检测会遗漏混淆、多语言和图像编码的注入。对抗训练能改善特定模型,但新攻击通常在数周内击败更新后的权重。对一个每天运行数千次的代理,哪怕每次尝试失败率仅1%,每月仍能产生数十次成功入侵。
旨在提供帮助的框架仍在追赶。NIST AI 600-1承认提示注入为信息安全风险,但仅在策略层面而非技术层面进行治理。OWASP在2025年12月发布了针对代理应用程序的十大风险,增加了Agent Goal Hijack和Memory and Context Poisoning类别,但该文件中的控制措施仍属建议性而非强制性。
同一安全报告的另一发现显示,65.3%的组织没有任何专门的提示注入防御措施。他们依赖于模型供应商提供的内容,加上政策和意识培训。当AI接触面仅为聊天时,这种姿态尚可维持,但在转向可访问邮件、代码、支付和公司文件共享的代理后,这种姿态无法持续。
持久的控制措施存在于模型外部。企业可将每个代理的权限限定为其工作任务所需的最小权限集。可要求在发送邮件、执行代码、完成支付和修改访问控制时进行人工审批。安全团队可按敏感度对检索源打标签,并默认从RAG中排除受限类型。网络团队可设置代理允许访问的出口域名白名单。审计团队可记录每个关键操作的完整推理追踪,并按需回放。
CISO进行采购审查时需要四个具体问题。第一问检测节奏,即供应商针对提示注入运行哪些分类器及重新训练频率。第二问要求公布单次尝试和200次尝试下的攻击成功率。第三询问产品通过有效控制而非营销声明解决了OWASP LLM01、LLM06、ASI01和ASI06中的哪些。第四问安全团队能否回放任何关键代理行为背后的确切提示、检索和工具调用。
任何部署AI的企业今天都必须以模型将有一部分时间遵循注入指令为前提来运营。唯一持久的控制存在于模型自身之外。任何将LLM视为可信边界的产品,本质上都是附带友好界面的凭证窃取工具。