当注入说着文档的语言:伪装检测缺口
2026 年的两项研究表明,用文档自身行业术语撰写的提示注入能绕过守卫分类器——Llama Guard 3 一个都没检出。对检索内容进行改写是最稳健的防御,但效果因模型而异。
这是什么?
守卫分类器是许多团队部署在检索增强(RAG)智能体前面的一层,用于在模型采取行动之前拦截不可信内容中的提示注入。哥伦比亚大学数据科学研究所在 2026 年的两项研究表明,这一层存在一个系统性盲区:当注入以与周围文档相同的词汇和权威结构撰写时,就变得极难检出。
第一篇论文 Blind Spots in the Guard(2026 年 5 月)将该现象命名为领域伪装注入,并度量了检测率下降的幅度。后续论文 Evaluating Prompting-Based Defenses Against Domain-Camouflaged Injection Attacks(2026 年 6 月)提出了一个实用问题:当分类器失明后,哪些防御仍然有效?两篇论文都仅对测试平台使用已公开的技术,不涉及可操作的漏洞利用——目的是绘制防御缺口,而非提供攻击武器。
工作原理
大多数注入检测器是在看起来像攻击的载荷上校准的:一个突兀的祈使句、一句”忽略先前的指令”、一个可疑的 URL。伪装消除了这些特征。恶意指令不再是插入法律文书或发票中的生硬命令,而是以文档自身的语体撰写——采用真实条款或备忘录会使用的节奏与术语——因此读起来像原生内容,而非入侵。
实测效果显著。在 Llama 3.1 8B 上,载荷经伪装后,注入检测率从 93.8% 降至 9.7%;在 Gemini 2.0 Flash 上则从 100% 降至 55.6%。作者将这一下降形式化为 伪装检测缺口(Camouflage Detection Gap,CDG)——静态载荷与其领域匹配”孪生体”之间检测率之差——并发现该缺口在覆盖三个领域的 45 项任务中既大且具有统计显著性。更引人注目的是,生产级安全分类器 Llama Guard 3 对伪装载荷的检出为 零,因此这一盲区并不局限于轻量级的少样本检测器。在多智能体辩论设置中,一次普通的静态注入在较小模型上可被放大至多 9.9 倍,而更强的模型则表现出更强的集体抵抗力。
检测率(示意——摘自 Blind Spots in the Guard)
------------------------------------------------
静态载荷 Llama 3.1 8B: 93.8% Gemini 2.0 Flash: 100%
伪装载荷 Llama 3.1 8B: 9.7% Gemini 2.0 Flash: 55.6%
Llama Guard 3 对伪装载荷: 0%
为何重要
这一盲区恰好命中检索智能体正在部署的领域:金融、法律、医疗——这些领域语言密集而正式,为伪装提供了掩护。在 RAG 管道前放置单一守卫分类器是常见架构,而这些结果表明,一个在标准基准上看似稳固的分类器,面对为融入环境而撰写的内容时可能崩溃。由于测试跨越多个模型家族,这是检测方法本身的属性,而非某个厂商的怪癖。它强化了一条老生常谈的信息——已写入 OWASP LLM01:提示注入——即单靠检测器并不是一个可以依赖的控制。
防御措施
6 月的后续论文在 Claude Haiku、Llama 3.1 8B 和 Gemini 2.0 Flash 上,通过 3510 次试验评估了五种基于提示的防御——聚光(spotlighting)、改写(paraphrasing)、提示夹层(prompt sandwiching)及两种组合。结果之所以有用,正因为它们参差不齐:
- 在智能体读取之前先改写检索到的内容。 把不可信文本重写为中性语言是最稳定的防御,视模型不同可将伪装攻击的成功率降低 55%–84%。改写抹去了让载荷得以融入的模仿式语调。
- 预期防御依赖于模型。 聚光在 Claude Haiku 上将攻击成功率大约减半,但在 Llama 3.1 8B 上毫无收益。切勿凭信任在模型之间照搬防御——请在你实际上线的模型上测量它。
- 不要依赖单一守卫分类器。 把检测视为多层之一,而非唯一控制。假定部分伪装内容会漏过,并限制智能体能对其做什么。
- 按来源做净化。 2026 年 6 月的互补工作 PARSE 主张对检索文本进行来源感知的净化,使来自不可信源的数据无法把指令带入智能体的行动路径。
- 在下游限制自主权。 对有后果的操作保持最小权限与人工审批,使一次漏检的注入无法悄然转移资金或外泄数据。
没有任何单一的提示技巧能在所有配置下弥合这一缺口,作者也提醒,基准排名未必能迁移到真实的企业文档——请把它们当作有待检验的起点,而非定论。
状态
| 项目 | 参考 | 日期 |
|---|---|---|
| 领域伪装注入 + 伪装检测缺口 | Blind Spots in the Guard(arXiv:2605.22001) | 2026-05 |
| 五种基于提示的防御评估 | arXiv:2606.18530 | 2026-06 |
| 基于来源的检索净化 | PARSE(arXiv:2606.17467) | 2026-06 |
| 提示注入防御的批判性评估(背景) | arXiv:2505.18333 | 2025-05 |
| 框架参考 | OWASP LLM01:提示注入 | 2025 |
要点:一个在基准上得分不错的守卫分类器,仍可能漏掉以目标文档自身”口吻”撰写的注入。检测是一层,而非保证——请将其与改写、基于来源的净化,以及对智能体行为权限的严格限制结合使用。