系统:运行中
← 返回所有攻击
PROMPT INJECTION MEDIUM NEW

CrowdStrike 的提示注入分类法突破 200 种技术

2026 年 7 月 7 日,CrowdStrike 为其提示注入分类法新增 18 个条目,总数已超过 200 种技术。五个新类别展示了攻击如何藏身于延迟触发、伪造控制标记和可信上下文数据之中。

2026-07-15 // 6 min affects: llm-agents, rag-pipelines, ai-assistants, coding-agents, browser-agents

这是什么?

2026 年 7 月 7 日,CrowdStrike 的 AI 安全研究团队发布了一次更新,声称其维护着业界规模最大的提示注入分类法。此次更新新增 18 个条目,使目录扩展到 200 多种独立技术,博文对其中五种进行了详细说明。这是一份防御性成果,而非攻击工具的发布:它提供了一套共同的术语,让红队、检测工程师和威胁建模人员能够描述注入攻击的真实行为,而不是把一切都笼统地归为「提示注入」这一个标签。

这一视角很重要,因为攻击面已经发生转移。随着部署从聊天机器人转向能够抓取网页、读取文件存储、查询数据库乃至编写 shell 命令的智能体,间接注入——隐藏在智能体所消费数据中的恶意指令——已成为首要担忧。这五个新类别的价值,与其说在于某个单独手法的新颖,不如说在于它系统化了防御者反复观察到的规避模式。本文概述的是公开分类法,不复现任何可利用的载荷。

工作原理

这五种重点技术各自针对模型对其输入所作的一个不同假设。

触发式规则添加植入一条指令,它在关键词、事件或条件出现之前一直处于休眠状态。在审查时,被注入的文本看似无害——而这正是目的所在:恶意行为只有在触发条件出现后才会显现,从而绕过一次性检查。

认知标记抑制并不直接强制服从,而是抑制模型生成与拒绝相关的标记——道歉措辞、策略语言、安全提示——使其语言选择偏离既定的拒绝模式,转向风险更高的输出。

载荷的算法化分解将一条恶意指令拆成碎片——散落在列表中的词语、字符、变量或步骤——并要求模型将其重新组合后执行。每个碎片对扫描器来说都显得无害,而危险的合成正是由模型自己完成的。

特殊标记注入模仿模型用于区分系统指令、用户输入和工具输出的结构性标记——角色标识符、分隔符、工具调用格式。通过伪造这些边界,攻击者试图将不可信内容提升到系统指令或全新指令块的地位。

用户无意间的上下文数据注入利用了可信上下文与可执行指令之间的缝隙。受害者自己的提示是无害的;载荷藏身于他们无意间引入的周边数据中——粘贴的备注、上传的附件、转发的邮件、CRM 记录,或由被入侵的扩展程序或同步工具插入的内容。随后模型在用户已认证的环境中处理这条隐藏指令。

共同的主线是:这些技术都不依赖经典的「忽略之前的指令」。它们通过延迟激活、语义约束、边界伪造、分片和隐含流程发挥作用——而且可以组合,因此同一起事件可能同时叠加多种手法。

为什么重要

单一的「提示注入」标签掩盖了攻击链,也让检测工程失去了所需的细节。如果一起事件实际上是携带伪造工具调用边界和分解载荷的间接注入,用一个词概括它,就无法说明是哪个控制失效了。结构化的分类法提供了一张地图:它为技术命名,指出其在流水线中进入的位置,并使复合攻击可被描述。

暴露面很广,因为模型上下文如今来自众多来源——提示、文件、RAG 语料、智能体记忆、API、工具输出、浏览器内容、邮件和 SaaS 数据。每一个都是潜在的注入向量,而延迟触发和上下文数据类技术尤其能够击破「审查用户提示就足够」这种直觉。

防御

将模型上下文的每一个来源都视为不可信输入,而不仅仅是用户提示。文件、检索到的文档、记忆条目、工具输出和第三方数据都应纳入威胁模型,因为间接注入和上下文数据注入正藏身于此。

让红队演练超越「忽略之前的指令」。应测试边界伪造、延迟激活、算法化分解、不常见的字符或同义词替换,以及隐含而非明示的指令。仅覆盖显性越狱的测试套件会遗漏上述类别。

针对复合攻击进行检测工程。以足够的结构记录提示与响应,以便重建攻击链,并避免用笼统的「提示注入」标签标注事件——记录其构成技术,以便调优控制。

加固结构性边界。不要让用户或工具提供的文本重新引入框架内部使用的分隔符、角色标签或工具调用标记;将其剥除或转义,并核实不可信内容无法被提升到系统角色。

为 AI 流量增加运行时可见性。了解谁在调用哪些模型和智能体,以及提示或响应是否携带危险指令或敏感数据,正是让分类法从参考文档转变为可运营控制的关键。

状态

项目详情
发布CrowdStrike 博客,2026 年 7 月 7 日(7 月 8 日更新)
作者David Keller,CrowdStrike AI 安全研究
变更新增 18 个分类法条目;目录现已超过 200 种技术
详述的新类别Trigger-Activated Rule Addition (PT0201);Cognitive Token Suppression (PT0197);Algorithmic Payload Decomposition (PT0200);Special Token Injection (PT0198);Unwitting User Context-Data Injection (IM0018)
性质防御性分类法/红队与检测参考——无 CVE,无漏洞利用发布

Sources