详细内容或原文请订阅后点击阅览
超越即时注射
2025 年末,安全社区不再将间接提示注入视为理论上的风险。它花了两年时间作为一个整洁的实验室演示;然后生产系统开始受到打击。 LLM 申请的 OWASP Top 10 现在将即时注入列为第一大风险,NIST 称间接注入生成 AI 最大的安全性 [...]
来源:O'Reilly Media _AI & ML2025 年末,安全社区不再将间接提示注入视为理论上的风险。它花了两年时间作为一个整洁的实验室演示;然后生产系统开始受到打击。 LLM 应用程序的 OWASP Top 10 现在将即时注入列为头号风险,NIST 称间接注入生成型 AI 最大的安全缺陷,学术研究人员表明,在高达 80% 的试验中,一封有毒的电子邮件可能会迫使模型泄露 SSH 密钥,且用户交互为零。该攻击不需要恶意二进制文件,不需要网络钓鱼点击,也不需要异常登录。代理只需读取内容并采取行动,完全按照设计,并且内容是由攻击者编写的。
最有启发性的例子是ForcedLeak。 2025 年 9 月,Noma 的研究人员披露了 Salesforce Agentforce 平台中的一个关键漏洞链 (CVSS 9.4):攻击者在常规 Web-to-Lead 表单的描述字段中嵌入了恶意指令。该文本无害地存放在 CRM 中,直到一名员工后来要求 AI 代理处理该线索,此时代理尽职尽责地执行了合法查询和攻击者的隐藏负载,将敏感的 CRM 数据泄露到外部服务器。一个让你夜不能寐的细节是,渗漏目的地是一个仍在 Salesforce 可信白名单上的域名,该域名已经过期,研究人员以大约 5 美元的价格重新注册了该域名。每个安全控制都会看到流向受信任域的合法流量。看起来没有什么不对劲。
如果您的本能解读是“我们过滤即时注入”,那么您正在防守错误的边界。输入过滤是必要的,但还远远不够。令人不安的事实是,注射并不是违规行为,而是违规行为。行动是。几乎所有我们所说的“人工智能安全”都是针对这句话的错误部分。
