PROMPT INJECTION
(13)13 个攻击.
路过式提示注入:网页可在移动端悄然操控 Copilot
微软于 2026 年 7 月 14 日修复了一个严重漏洞:恶意网页可让 Android 版 Edge 向 Copilot 应用发送隐藏提示,既无需确认,也不校验来源。
视觉权限标记注入:图像中伪造的「SYSTEM:」标头
把文本排版成系统提示标头的样子——SYSTEM:、ADMIN OVERRIDE:——并渲染进图像,就可能让视觉语言模型将其当作特权指令处理。这是一种伪装成 API 结构的排版惯例。
CrowdStrike 的提示注入分类法突破 200 种技术
2026 年 7 月 7 日,CrowdStrike 为其提示注入分类法新增 18 个条目,总数已超过 200 种技术。五个新类别展示了攻击如何藏身于延迟触发、伪造控制标记和可信上下文数据之中。
大语言模型提示注入防御中的多语言安全鸿沟
2026 年 6 月的一项研究表明,非英语提示和轻量字符编码更容易绕过大语言模型的安全对齐——同一攻击,翻译之后,得到的顺从率更高。
自动化提示注入因模型而异:TAP 胜过 GCG,GPT-5 抵御住了
苏黎世联邦理工学院 2026 年 6 月 9 日的研究将 GCG 与 TAP 适配到 AgentDojo,覆盖 80 对智能体任务。黑盒 TAP 胜过基于梯度的 GCG,但在小模型上调优的攻击无法迁移到 GPT-5。
Reprompt:通过 URL 预填提示词对 Copilot Personal 实现一键数据外泄
一个已修复的 Copilot Personal 缺陷,将 URL 预填提示词、仅校验首次请求的防护,以及由服务器驱动的后续指令串联起来,实现了一键式的隐蔽数据外泄。其绕过教训具有普遍意义。
网页聊天机器人插件:不安全的小部件如何放大提示注入
一项 IEEE S&P 2026 研究分析了部署在 1 万多个网站上的 17 款聊天机器人插件,发现可被伪造的对话历史(注入效果提升 3 至 8 倍),以及混淆可信与不可信内容的抓取工具。
ASPI:请求澄清会扩大提示注入攻击面
2026 年 5 月 17 日的一篇 arXiv 基准研究显示,当智能体暂停向用户请求澄清时,提示注入的成功率会从不到 2% 升至超过 34%(o3 与 Gemini-3-Flash)。
真实世界中的提示注入:LLM 简历筛选中的隐藏攻击
USENIX Security 2026 一项针对 196,682 份真实简历的研究发现,约 1% 含有隐藏的提示注入,且超过 90% 是不可见的『数据注入』,而非现有检测器所寻找的显式指令。
编码型提示注入:当 LLM 自己解码 payload,护栏就失效了
2026 年 5 月 4 日,一条用摩尔斯电码写成的推文,从 Grok 控制的加密钱包里转走了约 17.5 万美元。这是迄今最昂贵的一次公开演示,揭示了一个已知的防御盲点:基于字符串匹配的护栏看不穿那些模型本身乐于解码的编码。
字体映射提示注入:当同行评审变成 LLM 的攻击面
2026 年 5 月 25 日的 arXiv 基准测试显示,通过字体映射隐藏的载荷可以将 LLM 的审稿意见从拒稿翻转为接受。ICML 2026 已经用同一手法的镜像版桌拒了 497 篇论文。
Copirate 365:在 M365 Copilot 中串联提示注入、延迟工具调用与长期记忆劫持(CVE-2026-24299)
Johann Rehberger 于 2026 年 5 月发布的 DEF CON 复盘文章,描述了一条五阶段的间接提示注入链:仅凭一封带陷阱的邮件,即可在 Microsoft 365 Copilot 中植入持久后门。漏洞已修复,但所用模式具有普遍意义。
ASCII 走私:通过 Unicode Tag 字符隐藏命令
Unicode Tag 字符(U+E0000–U+E007F)对人类不可见,但 LLM 会解析。攻击者将其嵌入邮件、网页和 PDF 中以注入隐形命令,劫持代理行为。