事件经过
2026年5月20日,新加坡网络安全局(CSA)、新加坡政府科技局GovTech、IMDA和Google发布了全球首个AI代理沙盒的研究结果,该研究从2025年8月开始进行了约四个月。沙盒在三个真实的公共部门用例中测试了计算机使用代理:政府数字服务的自动化质量保证、已部署聊天机器人的AI安全测试,以及社会援助申请指导。在所有用例中,识别出的最突出的网络安全风险是间接提示注入——具体来说,代理可能被欺骗执行非预期操作的风险,包括通过其在环境中遇到的恶意内容进行远程代码执行(RCE)。报告还识别出人类监督校准、代理数据交互期间的数据保护,以及第三方代理定制化作为关键风险主题。报告建议基于风险的人类监督(高风险预先批准,可逆低风险事后审查)、跨平台、组织和用户层的分布式防护措施,以及受控的增量部署。
影响分析
这是第一个由政府资助的实证研究,确认间接提示注入→RCE是代理系统中真实世界生产风险,而不仅仅是理论关注。该发现具有强烈的实践意义:这些不是针对加固系统的红队演练,而是运行计算机使用代理的真实公共部门工作流程。新加坡多机构认可(CSA + GovTech + IMDA)表明,提示注入防护将成为新加坡政府AI采购的预期基线,并进而影响供应商认证,如AI Verify框架。
建议行动
将间接提示注入作为任何代理部署的强制性测试用例——特别是浏览网页、阅读邮件或处理来自外部来源文档的计算机使用代理。将RCE路径提示注入测试添加到部署前安全审查检查清单中。评估您的代理编排层是否将指令内容与检索/外部内容分离,以及工具调用输出是否被视为不可信输入。