系统:运行中
← 返回所有攻击
DEFENSE LOW NEW

上下文炸弹:面向攻击型 AI 智能体的防御性提示注入

Tracebit 于 2026 年 7 月中旬的研究,将会触发模型安全护栏的短字符串藏入诱饵密钥,使五款攻击型 AI 智能体在 AWS 靶场中获得管理员权限的成功率从约 57% 降至 5%。

2026-07-15 // 5 min affects: offensive-ai-agents, opus-4.8, gemini-3.1-pro, glm-5.2, deepseek-4-pro, kimi-k2.6

这是什么?

2026 年 7 月 14 日,欺骗防御安全公司 Tracebit 发布了一项关于提示注入防御性变体的研究,称之为上下文炸弹(context bomb)。这一思路颠倒了通常的威胁模型:不再是攻击者注入指令劫持受害者的 AI 智能体,而是由防御方植入注入文本,在攻击方的 AI 智能体达成目标之前令其脱轨。

其机制建立在蜜标(canary)之上——放置于环境中的诱饵资源与凭据,任何访问都会揭示入侵。Tracebit 的新型蜜标携带一段短字符串,即上下文炸弹,专门用来触发读取它的攻击型模型的安全护栏。当自主或半自主的攻击型智能体在侦察阶段取走诱饵密钥时,炸弹进入模型上下文,其安全对齐随即触发,智能体便停滞、拒绝或放弃任务——与此同时蜜标照常发出告警。这是一项处于研究阶段的防御技术,而非漏洞披露,它利用了一个早已被记录的行为:恶意软件作者会用提示注入欺骗 AI 分析工具,使恶意样本被判定为无害。

工作原理

蜜标是一根绊线:一把假的 AWS 密钥、一个诱饵数据库、一份植入的文档。它的职责是检测——一旦有东西触碰,防御方便知有攻击者在内。Tracebit 要解决的问题是速度。随着攻击者将 AI 智能体指向环境,绊线触发与目标达成之间的窗口收缩至几分钟,留给响应的时间越来越少。

上下文炸弹在检测之上叠加了第二重效果。诱饵密钥旁伴随一段短字符串,经设计后会落入攻击型模型的上下文并激活其拒绝行为。Tracebit 指出,具体内容很关键且因厂商而异:西方模型会被涉及其安全对齐视为禁区的敏感或危险科学话题的字符串可靠地拦下,而经由中国厂商访问的中国模型则会被涉及政治敏感话题、以中文书写的字符串拦下。将此类敏感内容与常规注入手法(紧迫感、“给智能体的备注”、分隔符)结合,可在现实场景中被发现后提升效果。我们在此有意不复现任何触发字符串;重点是模式本身,而非可直接使用的载荷。

为什么重要

Tracebit 搭建了一个模仿企业 AWS 环境的靶场,遍布错误配置,开放十条不同的攻击路径,涵盖管理员权限与持久化、代码执行、数据窃取、横向移动、定向访问与侦察。在对比干净基线与”投弹”环境的 152 次运行中,测试了由 Anthropic 的 Opus 4.8、Google 的 Gemini 3.1 Pro、智谱 AI 的 GLM 5.2、DeepSeek 4 Pro 以及月之暗面的 Kimi K2.6 驱动的智能体,效果显著。智能体在基线运行中约 91% 能达成至少一条攻击路径,而在投弹运行中仅为 15%。完整管理员权限的平均成功率从约 57% 降至 5%,完全沦陷——管理员权限加持久立足点——从约 36% 降至 1%。最引人注目的是 Opus 4.8:在干净运行中 93% 拿下完整管理员权限,一旦存在炸弹便每次失败;Gemini 3.1 Pro 同样失去了其 60% 的完整管理员加立足点比率。关键在于:蜜标告警在所有情形下都会触发,检测能力从未因干扰而被牺牲。

更深层的意义在于战略。英国 NCSC 在 2025 年 12 月主张:提示注入不是 SQL 注入——由于模型在数据与指令之间没有明确界限,该缺陷或许永远无法彻底解决,只能降低其发生概率或影响。上下文炸弹接受这一前提并将其反转——正是这条让智能体易受攻击的模糊边界,也让攻击者的智能体变得可被操纵。它延续了欺骗与蜜标传统,相关工作如面向智能体的蜜标欺骗面向 AI 攻击者的欺骗环境,并直指攻击型安全智能体自主智能体勒索软件的兴起。

防御

对防御方而言,可落地的要点是:将上下文炸弹视为叠加在检测之上的延迟与欺骗层,绝不能当作预防手段。把蜜标告警作为主要控制:炸弹争取的是响应时间,而非关上大门。若你已部署蜜标或诱饵凭据,可考虑在其旁放置能触发护栏的上下文,使越过绊线的攻击型智能体也倾向于停滞。根据预期的模型与厂商定制内容,因为效果依赖语言与对齐;并先针对你自己的合法 AI 工具进行测试,以免防御性炸弹意外”投毒”读取同一资源的受权内部智能体。

请正视 Tracebit 自己指出的局限。该研究覆盖的是通过大众厂商广泛可得的高能力模型;未测量”去对齐(abliterated)“或被剥离护栏的开源权重模型,后者可能因不再具备可触发的拒绝行为而免疫。有决心的操作者也可以适应——在内容抵达模型前先做摘要或净化、过滤已知触发主题,或改用对齐被削弱的本地模型。应假定该技术会随攻击者的学习而衰减,并与基本功配合使用:对非人类身份施行最小权限、出站流量管控、运行时监控,以及收缩让入侵智能体得以造成破坏的致命三要素——私有数据访问、不可信输入与出站动作。

状态

项目详情
技术上下文炸弹——嵌入蜜标的护栏触发字符串(防御性提示注入)
研究者Tracebit(2026-07-14 发布)
受测模型Opus 4.8、Gemini 3.1 Pro、GLM 5.2、DeepSeek 4 Pro、Kimi K2.6
测试平台模仿企业 AWS 靶场,10 条攻击路径,152 次运行
关键结果≥1 条攻击路径 91% → 15%;完整管理员 ~57% → 5%;Opus 4.8 93% → 0%;所有运行均触发告警
成熟度研究 / 概念验证;效果依赖厂商与语言
待解问题未针对”去对齐” / 无护栏及本地开源权重模型测试

Sources