视觉权限标记注入:图像中伪造的「SYSTEM:」标头
把文本排版成系统提示标头的样子——SYSTEM:、ADMIN OVERRIDE:——并渲染进图像,就可能让视觉语言模型将其当作特权指令处理。这是一种伪装成 API 结构的排版惯例。
这是什么?
2026 年 7 月 1 日,Axis Intelligence Research 在其 AI Model Vulnerability Tracker 中记录了一项被其称为「基于视觉的权限提升:内嵌权限标记(Vision-Based Role Escalation via Embedded Authority Markers)」的发现。结论简单却令人不安:一张图像若包含被排版成系统提示标头样式的文本——SYSTEM:、ADMIN OVERRIDE:、OPERATOR INSTRUCTION:——会促使两款前沿视觉语言模型在约 43% 的测试用例中提升其后指令的权限等级。据该追踪器称,GPT-5 与 Gemini 3 Pro 复现了该行为,Claude Opus 4.7 未复现。相关弱点已于 2026 年 6 月 30 日报告给厂商,登记时补丁尚待发布。
这是一个已被充分确立的攻击类别中新近记录的具体变体。基于图像的提示注入——将对抗性指令嵌入像素而非文本——已在云安全联盟(CSA)2026 年 3 月的研究简报中被系统化,并在同月的一篇 arXiv 研究中于隐蔽约束下展示出高达 64% 的成功率。「权限标记」变体所补充的,是对为何奏效的洞察:模型不只是读取一条隐藏指令,而是推断它是特权的。
工作原理
现代多模态模型解析图像的方式,并不像文本过滤器解析字符串那样。其视觉编码器将像素转换为与它处理其他一切时相同的内部表示,并且即便面对低对比度、旋转或淹没于杂乱背景中的文本,也具备很强的类 OCR 阅读能力。关键在于:模型没有任何可靠通道告诉它「这段文本来自不可信的图像」还是「这段文本是真正的系统指令」。二者都以上下文的形式抵达。
权限标记攻击在排版层面利用了这一缺口。真实 API 中的指令层级是结构性的:系统角色是请求中的一个字段,而不是一串写着「system」的文本。然而模型在训练中学到,排布成 SYSTEM: 或 ADMIN OVERRIDE: 样式的文本往往先于高优先级指令。于是当这一视觉惯例出现在图像中时,模型可能把这种排版误读为它从未被授予的特权信号。
不可信图像 -> 视觉编码器 -> 共享上下文
[ 排版为「SYSTEM: <指令>」 ] |
v
模型从版式推断出更高权限,
而非从真实的 API 请求结构中推断
此处不复现任何 payload,理解机制也无需 payload:要点恰恰在于——完成攻击的是普通的排版样式,而非某个秘密漏洞利用。该类别是公开的;只有针对各具体模型的复现细节处于协调披露之下。
为何重要
权限混淆比单纯的指令遵从更危险,因为它攻击的正是本应让不可信输入保持从属地位的机制。一个仅仅遵从被注入指令的模型,通常可以用强健的系统提示重新约束;而一个被说服相信被注入指令就是系统提示的模型,则等于其这道防线被反转了。
暴露面在智能体与文档处理管线中最为广泛。CSA 简报强调:一个自主浏览网页、读取邮件附件或分析用户上传文件的智能体,可能在其正常工作流的任何环节遇到被构造过的图像——从而把任意网页、共享文档或第三方数据源变成投递载体。在多智能体链路中,上游视觉环节处理的一张图像,可能把被伪造的指令向下游传播,直抵拥有真实权限的工具。而由于触发物是操作者可能瞥一眼也不会警觉的可读文本,偶尔的人工复核只是薄弱的后盾。该效应在不同模型间差异显著——两款系统复现、第三款未复现——提醒我们这是一种依赖版本的经验性属性,而非普适定律。
防御
没有任何单一控制能中和基于图像的注入;CSA 简报与 OWASP 都归结为纵深防御。具体而言:
- 将任何来自不可信来源的图像都视作不可信指令,一如对待用户提供的文本。视觉通道需要自己的威胁模型,不能豁免于文本通道的威胁模型。
- **绝不让视觉排版赋予权限。**把真正的指令层级保留在你的应用所掌控的请求结构中,并指示模型——在可行时配置平台——忽略内容内部(包括图像)出现的角色标记、系统样式标头或「override」类措辞。
- **在视觉路径上最小化权限。**在低权限上下文中处理外部来源的图像;当触发上下文包含外部来源的图像时,对任何不可逆或对外可见的操作(发送消息、转移资金、执行代码)施加人工审批门控。
- **加入输入筛查与行为监控。**VLMGuard 等检测器可在第一道关口拦下部分变体;将其与输出侧告警相结合,对图像处理后的异常行为发出警报——意外承认「系统」指令、突然索取机密、或偏离既定任务。
- **专门对视觉向量做红队测试。**仅针对文本的注入测试无法覆盖排版式、隐写式或扰动式的图像攻击。将它们纳入测试,并在任何模型或视觉管线升级后重新测试。
- **在可行处清洗或规范化。**对于 OCR 密集的管线,考虑在明确的「不可信数据」框架下提取文本,而非把原始图像直接送入特权推理上下文。
状态
| 项目 | 参考 | 日期 | 备注 |
|---|---|---|---|
| 基于权限标记的视觉角色提升 | AVI-2026-0101(Axis Intelligence) | 2026-07-01 | GPT-5 与 Gemini 3 Pro 约 43%;Claude Opus 4.7 未复现;2026-06-30 报告,补丁待发 |
| 基于图像的提示注入(类别) | CSA AI Safety Initiative | 2026-03-08 | 分类法 + 防御;排版式注入是最常见向量 |
| 排版式 IPI 成功率 | arXiv:2603.03637 | 2026-03 | 隐蔽约束下高达 64%(GPT-4V、Claude 3、Gemini、LLaVA) |
| 提示注入排名 | OWASP LLM01 | 2025 | 头号 LLM 风险;2025 修订版将其扩展至多模态向量 |
统一的教训是:指令的权限必须由你的应用所掌控的结构来强制执行,绝不能从内容的外观中推断。一旦模型可以被诱导,仅因某段不可信输入被排版成命令的样子就将其抬升,那么一张图像的版式就成了一种权限提升原语。
此处报告的模型行为均标注日期并绑定版本;在某一版本上观察到的结果未必在下一版本成立,且在所引述披露之时厂商补丁尚待发布。