事件经过
Security Boulevard 在 2026 年 6 月 29 日报道三家独立公司在两周内披露了提示注入泄露事件。客户数据被泄露,内部系统通过直接、间接(RAG 管道)和跨上下文注入攻击被攻击。CrowdStrike 2026 年全球威胁报告分别确认提示注入被用于 2025 年 90 多个组织的 AI 工具,AI 启用对手操作同比增长 89%。OWASP 继续将提示注入列为 LLM01 — 最高级 LLM 漏洞。
影响分析
这证实提示注入已从理论发展到大规模利用,针对企业 RAG 管道、多代理系统和模型路由器的有效攻击。当 AI 代理有权访问电子邮件、代码、支付系统和文件存储时,成功的提示注入等同于完整系统妥协 — 泄露凭证、操纵输出、以及通过代理的特权工具访问发出操作。
攻击途径
嵌入在用户输入、检索的文档(间接注入)或代理处理的跨上下文数据(例如电子邮件、网页)中的恶意指令 — 导致其泄露数据、执行未授权操作或绕过系统提示护栏。
受影响系统
使用 RAG 管道、多代理编排或模型路由器的 LLM 驱动的企业应用程序;LangChain、LlamaIndex 和自定义代理框架等工具
缓解措施
强制执行结构化输出(JSON 模式)、代理工具使用和数据检索之间的严格权限分离、上下文隔离、默认拒绝工具权限、对敏感操作的人工干预、以及输出过滤。参考:https://securityboulevard.com/2026/06/prompt-injection-attacks-are-now-in-production-what-we-learned-from-real-breaches