现在做个产品,不塞个 AI 入口进去,都不好意思跟老板交差。
官网挂个智能客服,后台加个数据问答,运营搞个文案 Bot,甚至内部系统里还得接个能查工单、调接口的 Agent。
但以下问题都会接踵而至:
它会不会把 System Prompt吐出来?
内部规则吐出来?
知识库内容吐出来?
甚至后端工具调用方式一起吐出来?
这类问题不是传统 Web 漏洞的简单换皮。只要你的平台里有 AI 问答或 Agent,上线前就该把提示词注入、越权检索和工具滥用等相关安全问题当成真实攻击面来验。
不只是聊天框,更是一个攻击面
很多人对 AI 功能的理解,还停留在“用户问,模型答”。
但真实业务里的 AI,往往已经接进了企业知识库、业务数据库、工单系统、内部接口,甚至手里还捏着一组能代用户执行动作的 Agent 工具。
这时候,聊天框就不只是一个前端组件了。它本质上是一个披着自然语言外衣的业务入口,而且这个入口还具备“理解上下文、拼装请求、调用工具、返回结果”的能力。
传统接口测试关注的是参数、鉴权、越权和输入校验。AI 入口的危险在于,攻击触发方式从“改一个参数”变成了“说一段话”。
攻击者不一定先去硬碰 SQL 注入或文件上传,他完全可能先试探 AI:能不能套出 System Prompt,能不能让它忽略原来的限制,能不能让它去调用本不该调用的工具,能不能让它把别人的数据也检索出来。
如果这些边界没有提前焊死,聊天框就会从“交互入口”变成“攻击入口”。
提示词注入的影响,往往不止是泄露一段 Prompt
前阵子安全圈讨论很多的“彦火” App,就是一个比较典型的例子。
这款应用并不是那种经过完整安全评审后再上线的成熟产品,而是借助 Vibe Coding 快速做出来的 AI 陪聊助手。功能能跑,界面也能看,但安全边界明显没跟上。
只是尝试最简单的提示词攻击,这个助手就把System Prompt 吐了出来。
很多人第一反应会觉得,这最多只是“设定词泄露”,还谈不上真正的系统失陷。但从攻击视角看,System Prompt 里往往不只是人设文案,还可能带着角色规则、拒答边界、知识库检索方式、工具调用描述,甚至一些内部约束信息。
这些信息一旦被拿到,后续攻击门槛会明显下降,更关键的是,提示词注入的风险通常不会停在“Prompt 被看见”这一步。
如果 AI 只是个纯陪聊工具,问题主要还是内容合规和产品形象;但只要它接了真实业务,风险就会立刻升级成越权访问和能力滥用。比如本来只该查询本人数据的问答助手,被诱导后去检索其他用户资料;本来只该辅助操作的 Agent,被诱导后绕过正常权限链路调用后台接口。
所以,套出 Prompt 本身不一定等于攻破系统,但它往往是后续攻击的起点,而不是终点,但是却揭露出了一个重大的安全漏洞。
AI 功能上线前,至少先确认这四件事
第一,System Prompt 能不能被诱导泄露。如果连最基本的系统提示词、内部规则和工具描述都能被套出来,后面很多攻击都会更容易。
第二,知识库检索有没有严格继承用户权限。AI 能不能查到什么,不能只由“检索到了什么”决定,还要由“当前用户本来就有权看到什么”来决定。
第三,工具调用是不是最小权限。AI Agent 接了查数据、改状态、发消息、调接口的能力后,不能因为模型一句“我是管理员”就把后台能力放出去。模型会调用什么工具、用什么身份调用、能调用到什么范围,都应该被单独约束。
第四,会话和上下文有没有隔离。A 用户刚输入的敏感信息,不能因为上下文串联、缓存污染或共享记忆,就被 B 用户从另一次会话里套出来。
只把 Prompt 写严一点,不够
很多团队出了问题之后,第一反应是回去补 Prompt:多加几句“不要泄露内部信息”“不要回答敏感问题”“必须遵守权限规则”,这些动作当然该做,但它们解决不了全部问题。
如果知识库检索本身没有继承用户权限,模型再会拒答,也可能先把不该看的文档拿到上下文里;如果工具调用绑定的是高权限服务账号,模型再“谨慎”,一旦被诱导成功,风险仍然会落到后端能力上;如果会话隔离和输出过滤没做好,前一轮或前一位用户的内容也可能泄到后面去。
换句话说,AI 安全不能只靠“让模型更懂规矩”,还得靠权限校验、数据隔离、工具收口、输出控制一起兜底。
真正要防的,不是模型偶尔说错一句话,而是它借着一句话,把后端本不该暴露的东西都调出来了。
VulnPlus 助力构建 AI 助手安全防线
放到这类场景里,VulnPlus 的价值不在于帮你把聊天框写得更花哨,而在于把这条 AI 链路当成真实攻击面来拆开检查。

如果是黑盒场景,VulnPlus 可以直接从目标入口往里走,识别 AI 问答、检索入口、上传入口和工具交互流程,再围绕提示词注入、越权查询、上下文污染、能力滥用这些方向去构造测试路径。
如果能拿到源码走白盒,检查会更直接。前端输入是怎么拼进 Prompt 的,RAG 检索有没有做权限继承,工具调用有没有做身份约束,会话上下文怎么保存,哪些接口最终会被 Agent 带着调用出去,这些都可以顺着代码链路往下看。
VulnPlus内置大模型安全相关的漏洞挖掘能力:
它会尽量把问题往可验证结果推进:到底是能套出 System Prompt,还是能越权读到他人数据;到底是模型说了不该说的话,还是已经调用了不该调用的后端能力。对安全团队来说,这种差别很重要,因为它决定了影响判断、修复优先级和交付质量。
AI 安全最怕的不是发现不了一点风险,而是拿到一堆模糊结论,最后还要人工一点点补验证。
VulnPlus 要压缩的,就是这段从“疑似”到“确认”的距离。
结语
AI 当然可以越来越聪明,业务也当然会越来越愿意把它接进真实流程。
但只要它接了真实数据、真实权限和真实工具,它就不再只是一个“会聊天的功能”,而是一个新的业务入口,也是一块新的攻击面。
该先确认的是:它会不会泄露规则,会不会越权检索,会不会乱调工具,会不会把别人的数据带出来。
真正值得上线的 AI,从来不只是“什么都能答”,而是“知道什么绝对不能答,也绝对不能做”。
VULNPLUS
点击链接申请试用:https://vuln.plus/apply.html

夜雨聆风