系统:运行中
EN FR ES ZH
← 返回所有攻击
DEFENSE MEDIUM NEW

提示注入尚未解决——请以机器速度加以遏制

在 2026 年 Infosecurity Europe 上,OWASP 的 Ariel Fogel 称提示注入是一个尚未解决的架构性问题,并主张防御应从预防转向与智能体同速的运行时遏制。

2026-06-15 // 6 min affects: llm-agents, agentic-ai-workflows, rag-pipelines

这是什么?

2026 年 6 月 8 日,Infosecurity Magazine 报道了 Ariel Fogel2026 年 Infosecurity Europe 上的发言。Fogel 是 Pillar Security 首席技术官办公室的 AI 安全研究员,也是 OWASP GenAI Security 项目的贡献者。他的观点很直接:提示注入在架构层面”仍是一个尚未解决的问题”,而且随着智能体获得工具与行动能力,这一缺口正在扩大。

这不是一次新的漏洞披露,而是来自撰写 OWASP LLM 与智能体应用 Top 10 的机构的一份态势评估——就在同一周,OWASP 还公布了其 Agentic Research Council(6 月 4 日宣布),旨在缩短研究与可部署缓解措施之间的距离。我们之所以报道它,是因为实践启示已经改变:不要再等待”修复”,而应面向遏制来设计。

工作原理

根本原因是结构性的,而非一个可打补丁的缺陷。LLM 将其输入作为单一的 token 序列处理,模型内部没有任何可靠机制来强制区分系统提示、用户查询与智能体从外部世界检索到的内容之间的权限边界。可信指令与不可信数据通过同一通道进入:模型读取的任何文本都可能争相成为指令。这正是 Simon Willison 提出的 Lethal Trifecta(私有数据、暴露于不可信内容、外泄通道)背后的架构事实,也是”智能体安全是系统问题而非模型问题”这一更宏观论断的根源。

智能体改变的是后果。Fogel 指出:一次成功的注入不再只是产生糟糕的回答;当执行者是拥有工具访问权的智能体时,它可以触发一连串真实世界的动作——从糟糕输出升级为主动入侵。

值得深究的是:在这种环境下,“人类时代”的控制措施如何失效。Fogel 描述了在真实攻击中观察到的两种模式:

控制措施(人类时代)    在智能体面前如何失效
----------------------  ----------------------------------------------------
命令白名单              智能体所需的命令早已获批,因此白名单
                        *助推* 了利用,而非阻止它。
沙箱边界                智能体自身的输出重新定义了边界——
                        实际上改写了本应阻止它的遏制机制。
人工审查                攻击在数分钟内完成;人工审查周期
                        太慢,无法逐动作介入。

像 Lethal Trifecta 和 Meta 的 Rule of Two(在无人工批准的会话中,智能体最多只应满足三项属性中的两项)这类启发式方法有助于缩小影响半径,但 Fogel 警告它们并非完整防御——已发表的研究表明,仅具备两项属性时攻击同样能够成功。

为何重要

Fogel 指出,多数组织部署智能体的速度快于其治理能力。这一差距很关键,因为失效模式不再只是表面问题。让智能体有用的速度与规模,同样压缩了注入的”影响到达时间”,而许多团队所依赖的控制措施——白名单、沙箱、定期审查——本是为人类操作员设计的,如今可能沦为加速器。把提示注入当成单纯的输入校验问题,会导致对本应受到严格约束的智能体过度信任。

防御

推荐的姿态从单纯预防转向限制被注入的智能体能够做什么,并采用与智能体同速运行的控制:

  • 假定注入会成功。 先设计影响半径:将每个智能体的工具、数据与出站网络访问限制到任务所需的最小范围。
  • 为三要素设定预算。 应用 Rule of Two——在任何会话同时具备私有数据、不可信内容与外泄通道之前,要求一个人工检查点——同时明白两要素攻击确实存在。
  • 以机器速度监控。 对工具调用进行实时行为监控,配合实时遏制与强制停止机制,而非事后的日志分析。
  • 收紧身份与会话。 签发短时、范围狭窄的凭据,并加入加密证明,使每一次智能体动作都可追溯且受时间限制。
  • 统一安全与 safety 响应。 构建覆盖机器速度、多智能体场景的事件处置手册,采用 human-on-the-loop 监督,而非无法跟上节奏的逐动作 human-in-the-loop 批准。

状态

条目详情
来源Ariel Fogel(Pillar Security / OWASP),2026 Infosecurity Europe
报道时间2026 年 6 月 8 日(Infosecurity Magazine)
性质架构性局限——无补丁;缓解之道是遏制
相关OWASP Agentic Research Council 于 2026 年 6 月 4 日成立

这是一份分析,而非漏洞利用:没有可发布的载荷,也没有单一厂商可供打补丁。持久的教训是:在模型与运行时能够强制区分指令与数据的权限之前,提示注入是防御者必须遏制的环境属性——而不是一个可以坐等其消失的缺陷。

Sources