◈ AI 安全情报 ← 全部术语
Attack  ·  术语库

Prompt injection

定义
一种攻击方式,恶意指令被隐藏在AI阅读的文本中——例如文档、电子邮件或网页——欺骗AI忽略其原始指令,改为执行攻击者想要的操作。可以将其比作AI版本的伪造CEO备忘录并将其混入员工的收件箱。AI无法可靠地区分来自其运营商的合法指令和来自攻击者的伪造指令。
影响分析
任何阅读或总结外部内容的AI——客户电子邮件、网页、上传的文档——都是潜在的攻击目标。一次成功的攻击可能导致AI泄露机密数据、执行未授权的操作或传播错误信息,而用户或运营商完全不知情。
近期相关发现
StakeBench: No Production Web Agent Consistently Blocks Prompt Injection — Direct Attacks Succeed 79%+ Across GPT-5 and Gemini in 3,168 SimulationsIndirect Prompt Injection Is Architectural, Not Deployment-Specific — Brave Demonstrates Attacks Against Cloud and Local AI ToolsCross-Session Stored Prompt Injection in Agentic Systems — Persistent Injections Survive Session Termination, Silently Influencing Future ExecutionsGitInject: Multi-University Research Confirms All Major AI CI/CD Providers Vulnerable to Prompt Injection — Eleven Named Attack Classes Documented
相关主题发现 (53)
Eclipse Theia AI Chat——Markdown图像标签启用提示注入驱动的数据泄露(CVE-2026-22551)Eclipse Theia AI Chat——工作区文件/目录名称注入到AI系统提示中(CVE-2026-44688)Shai-Hulud/Hades PyPI 供应链蠕虫针对具有 LLM 扫描仪规避和凭证擦除守护程序的 AI/ML 包LiteLLM 低权限 → 管理员 → RCE 权限提升链(CVSS 9.9,Obsidian Security)CISA + G7 联合指南:"人工智能软件物料清单 – 最小要素"Varonis SearchLeak(CVE-2026-42824) — Microsoft 365 Copilot企业搜索中的一键数据泄露链,已修复OpenClaw Zalo allowFrom 策略绕过 via 可变联系显示元数据(CVE-2026-53857)TrueFoundry AI Gateway — Lasso Security 集成用于集中化 GenAI 保护Spring AI 向量存储——特殊字符注入在 Elasticsearch、OpenSearch 和 GemFire 中启用任意查询执行Shai-Hulud/Hades 活动:PyPI 供应链蠕虫注入 AI 扫描器规避提示和后门 AI 编码代理配置LangGraph RCE链:有状态代理检查点中的SQL注入+msgpack反序列化(CVE-2025-67644+CVE-2026-28277)Google 发布 WebMCP 代理安全指导 — 恶意清单和受污染工具输出作为主要攻击向量,采用确定性和概率性对策Anthropic 发布 Claude Fable 5 和 Mythos 5 系统卡 — 详细的网络能力评估、双配置安全架构和代理提示注入基准结果CSA / Adversa AI AIRQ报告:98%的生产AI代理携带致命三角组合 — 仅11%防御充分Miasma蠕虫升级到AI编码代理劫持——73个微软GitHub仓库在SessionStart钩子有效负荷注入后被禁用CSA Labs: AI Agent 致命三角——98% 的生产代理同时结合敏感数据访问、不受信任的输入和出站操作能力Microsoft安全博客:Claude Code GitHub Actions中的CI/CD权限绕过启用供应链妥协 — 发布了修复指导OpenAI发布ChatGPT锁定模式 — 首个针对提示注入数据外泄的内置生产控制微软安全研究:针对代理人工智能威胁保护CI/CD管道——Claude Code GitHub操作案例研究Noma推出代理访问控制 — AI代理和MCP服务器的动态注册表、身份和策略执行CVE-2026-42074 (CVSS 9.3):OpenClaude编码代理CLI——LLM可通过暴露的Schema参数禁用自己的沙箱OWASP代理内存防护发布——针对代理内存中毒的开源运行时防御(ASI06)Microsoft推出MXC——针对AI代理的OS级内核强制沙箱,OpenAI和Nvidia作为首批合作伙伴Cyberhaven发布企业MCP安全指南 — 工具中毒、间接提示注入和影子MCP为主要风险类别Palo Alto Networks完成Portkey收购,推出Prisma AIRS AI网关作为代理控制平面arXiv: '植入、持久化、触发' — 潜伏攻击研究将跨交互智能体记忆投毒正式定义为一种独特的威胁类别LangChain 反序列化漏洞允许通过过于宽泛的对象允许列表进行远程代码执行 — CVE-2026-44843 (CVSS 8.2)CVE-2026-41863: LLM影响的文件名在文件写入前到达Path.resolve在Spring AI Anthropic Skills API中 — 代理工作流路径遍历新加坡政府AI代理沙盒:间接提示注入实现RCE被确认为顶级生产代理攻击向量新加坡政府—Google AI代理沙盒:间接提示注入被识别为生产环境代理部署中的主要网络安全风险介绍RAMPART和Clarity:将安全性引入Agent开发工作流程的开源工具Anthropic 静默修补了 Claude Code 沙盒绕过漏洞;五个月内第二次绕过,未发布 CVECVE-2026-45244: Summarize浏览器扩展缺失授权允许通过恶意内容进行代理自动化劫持WARD Guard模型以接近完美的召回率保护Web代理免受提示注入攻击AI威胁在新兴市场扩大攻击面——超越签名检测的新攻击载体Lyrie.ai发布Agent Trust Protocol (ATP)——首个AI智能体加密验证开放标准Heimdallr框架检测GitHub CI工作流中LLM引入的安全风险Cobalt渗透测试报告:AI系统严重缺陷密度比传统应用高2.5倍Gemini CLI 间接提示注入导致供应链妥协 (CVSS 10.0)NanoClaw 容器代理文件系统边界漏洞可实现主机读写访问CISA和国际合作伙伴发布关于安全Agentic AI部署的联合咨询Model Context Protocol STDIO传输中的系统性命令执行缺陷影响200,000台AI代理服务器Forcepoint披露了10个针对AI代理的野外间接提示注入攻击载荷OpenAI发布用于PII检测和编辑的Privacy Filter模型Google Antigravity AI代理管理器沙箱逃逸漏洞'评论与控制':通过GitHub评论的提示注入攻击危及Claude Code、Gemini CLI和GitHub CopilotShareLeak / PipeLeak: 已修补的 Microsoft Copilot Studio 和 Salesforce Agentforce 仍通过提示注入泄露数据提示注入:OWASP #1 LLM风险在2026年持续激增Google DeepMind绘制六类基于Web的AI代理陷阱Google DeepMind发布'AI代理陷阱'分类法:针对自主代理的六种攻击类别NIST AI智能体标准倡议于4月开始听证会CIS报告:提示注入攻击——生成式AI的固有威胁MCP协议工具投毒通过恶意服务器注册
参考资料
OWASP Top 10 for LLM Applications — LLM01: Prompt InjectionNIST CSRC Glossary: Prompt Injection
在实时动态中跟踪 了解这一概念在真实 AI 安全与治理事件中的体现。
打开动态 →