面对自适应提示注入,任务对齐推理胜过模式匹配
2026 年 6 月的一篇论文表明,静态基准高估了注入防御能力:自适应攻击者可将最差成功率抬高约 16 个百分点。RETA 将判断锚定在用户任务上,而非攻击者的文本上。
这是什么?
2026 年 6 月 13 日,来自滑铁卢大学、浙江大学和 KTH 皇家理工学院的研究者发布了论文 Defending against Adaptive Prompt Injection Attacks via Reasoning-enabled Task Alignment。论文提出了一个令人不安的论断,随后又给出应对:大多数报告”攻击成功率接近于零”的间接提示注入(IPI)防御其实测量方式有误——一旦允许攻击者针对已部署的防御进行优化,其保护效果就会大幅蒸发。
间接提示注入指的是:智能体检索到第三方数据(网页、邮件、API 响应、数据库记录),而该数据中包含攻击者希望智能体执行的指令。用户的任务是合法的,但数据通道并不可信。好的防御必须同时守住三点:拒绝被注入的任务、仍然完成用户的真实任务、并且不损害对干净输入的处理。论文用攻击成功率(ASR)、受攻击时效用(UA)和良性效用(BU)来衡量这三点。
工作原理
作者首先量化了静态评估与自适应评估之间的差距。在 AgentDojo 的 Slack、Banking、Workspace 与 Travel 套件上,他们将覆盖四种范式的七种代表性防御——提示式(Spotlighting、Sandwiching)、过滤式(PromptGuard、PIGuard)、共享秘密式(DataSentinel、MELON)与训练式(MetaSecAlign)——分别置于固定的基准攻击和自适应黑盒攻击者之下,后者会观察每次执行的结果并迭代地改写注入内容。
静态到自适应的差距很大。在 Qwen3-4B 上对各防御取平均,最差 ASR 从静态下的 21.7% 升至自适应下的 41.8%——跃升 20.1 个百分点——在 Llama-3.1-8B 上差距为 11.5 个百分点,跨模型平均为 15.8 个百分点。那些在静态排行榜上看起来最强的防御,包括 PIGuard、MELON 和 MetaSecAlign,其自适应 ASR 最高可达 50%。
最有意思的是其诊断。上述每一种防御回答的都是观测层面的问题——“这段检索到的文本看起来像注入吗?“——而不是任务层面的问题:“智能体的下一个动作真的是从用户请求推导出来的吗?“。由于攻击者掌控着观测面,他可以在改变防御所检视对象的同时,保留恶意目标不变。论文展示了四类改写手法,均作为防御性演示而非可直接使用的载荷:将被注入的指令伪装成紧急系统告警,以绕过基于分隔符的提示式防御;把祈使句改写成被动名词短语,以落到过滤器判定阈值之下;要求模型在行动之前先执行其正常的安全流程,使得金丝雀与影子执行信号照常触发;以及把指令改写成没有祈使动词的第一人称过去时叙述,以躲开训练后模型所学到的表层线索。
他们的方案 RETA(REasoning-enabled Task Alignment,推理驱动的任务对齐) 是一种分两阶段构建的训练式防御。第一阶段对冻结的基础模型做红队测试并记录成功的注入,同时用一个滚动词典去奖励那些策略尚未被先前攻击覆盖的改写——这抵消了作者指出的第二种失效模式:基于强化学习的攻击者会坍缩到少数几个奏效的模板上,使防御只在过窄的分布上受训。第二阶段用轨迹级奖励训练防御,要求它同时做到三件事:拒绝被注入的任务、完成受信任的用户任务、并产生显式的思维链推理,逐一核对每次工具调用是否符合用户意图。其锚点在于:用户任务在改写下保持稳定,因此”推理某动作是否由该任务推导而来”能够泛化,而表层模式匹配则会失败。
为何重要
在六类自适应攻击下,RETA 将每类攻击的 ASR 都保持在 10% 以下,在两个目标模型上平均为 2.92% 和 3.75%,同时在受攻击与干净输入下都保留了大部分效用。但对防御者而言,真正的要点不是某个数字,而是评估层面的教训。如果你在为一个会读取不可信数据的智能体挑选 IPI 防御,静态基准分数几乎毫无意义;一个在固定模板上 ASR 近乎为零的防御,仍可能被会迭代的攻击者推高到 40%–50% 以上。这把越狱鲁棒性研究早已付出代价学到的告诫,延伸到了智能体注入领域:自适应评估才是唯一算数的评估。
防御
可立即采用的具体要点:
- 用自适应方式重新测试防御。 把静态 IPI 基准数字当作你认知的上限,而非风险的上限。在信任某个过滤器或训练式防御之前,用会针对你具体部署改写注入的攻击者去评估它。
- 把判断从观测转移到任务。 询问”这段文本看起来恶意吗?“的防御可被改写绕过。应优先采用能核验每次工具调用是否由用户真实请求所支撑的机制,并把受信任任务保存在攻击者无法改写的通道中。
- 在训练中奖励策略多样性。 如果你微调一个防御,只最大化攻击成功率的强化学习攻击者会收敛到少数模板,让你在其他地方失明。应显式奖励对不同改写策略的覆盖。
- 不要依赖单一信号。 金丝雀复述和影子执行分歧可能在注入照常运行的同时被满足。应在其之上叠加任务对齐推理,而非信任任何单一可观测签名。
- 保住任务完整性,而不只是拒绝。 一个靠拒绝用户自身任务来压低 ASR 的防御并未解决问题。应在跟踪 ASR 的同时跟踪受攻击时效用,以便发现过度拒绝。
状态
本工作为研究预印本(arXiv 2606.15441,2026 年 6 月 13 日提交),在开放的 AgentDojo 基准上,针对 Qwen3-4B-Instruct 与 Llama-3.1-8B-Instruct 进行了评估。它是一种防御方法与一项测量批评,而非已披露的产品漏洞;不存在 CVE,也没有需要应用的补丁。所报告的数字为作者自测结果,尚待独立复现。