防御者开始用提示注入技术反制AI黑客攻击

安全公司Tracebit研究人员发现,将"提示注入"字符串植入AWS存储的密码、密钥等敏感资源旁,可有效瓦解AI黑客代理的攻击。该技术被命名为"上下文轰炸"——通过触发攻击型LLM的拒绝机制使其停止行动。测试覆盖5款主流模型共152次攻击模拟,结果显示管理员权限提升成功率从57%降至5%,完整入侵率从36%降至1%。这是迄今首个已知的防御方反用提示注入技术的案例。

提示注入攻击,是指攻击者将恶意指令嵌入内容中,诱使大语言模型执行这些指令,长期以来一直是黑客将AI平台变成攻击工具的惯用手段。一条精心措辞的指令,只需藏进一封邮件或一个日历邀请,就足以让大语言模型泄露敏感数据或执行其他有害操作。

如今,防御者也开始使用提示注入了。

Tracebit的研究人员于本周一表示,他们发现,只需将提示注入内容与密码、加密密钥以及其他存储在亚马逊云服务(AWS)上的敏感信息放在一起,往往就能有效阻断AI黑客智能体的攻击行动。这些提示会引导攻击方的大语言模型执行一项被其安全护栏明确禁止的操作,而护栏正是AI开发者为防止模型采取有害行动而设置的安全机制。一旦触发,该大语言模型就会自动停止运行。

举例来说,这类提示可以是指令大语言模型提供制造可吸入型炭疽孢子的步骤,或者针对中国开发的大语言模型,提及1989年天安门广场事件中那张标志性的"坦克人"图片。一旦大语言模型遭遇这些被禁止的指令,它就会停止执行原有的任务。研究人员将这一技术命名为"上下文炸弹"(context bombing)。

Tracebit联合创始人兼首席执行官安迪·史密斯(Andy Smith)在解释这一命名时说:"从根本上说,我们是在上下文中触发了一种拒绝机制。我们想传达的是,这种方法具有强烈而直接的效果,而且智能体很难从中恢复过来。一旦这条内容进入它们的上下文,它们就会持续拒绝执行。"

Tracebit表示,初步测试结果显示"上下文炸弹"具有很大的应用潜力。研究团队对Opus 4.8、Gemini 3.1 Pro、GLM 5.2、DeepSeek 4 Pro和Kimi 2.6进行了测试,向这些模型分配常规开发任务,引导其枚举资源,从而"偶遇"预先植入的字符串。测试在模拟的AWS环境中进行。

研究团队在周一发布的报告中写道:"在五款主流模型共152次攻击测试中,在诱饵密钥中植入一条这样的字符串,就能将智能体成功获取完整账户管理员权限的比率从57%降至5%,将完全入侵(即同时留下持久性立足点)的比率从36%降至1%。在我们测试的所有模型中,能力最强的Opus 4.8原本在93%的运行中能成功获取管理员权限,遭遇上下文炸弹后,则每次都以失败告终。"

综合五款模型与152次测试的平均结果如下:

管理员权限提升成功率从57%降至5%

带持久立足点的管理员权限提升成功率从36%降至1%

实现任意攻击路径的测试比例从91%降至15%

平均每次测试成功完成的攻击路径数从1.53条降至0.16条

没有任何一次测试能够在未触发诱捕检测的情况下完成攻击路径

这项研究建立在今年5月研究成果的基础之上。Tracebit当时提出了一种方法,可在AI智能体对手攻击基础设施时向防御者发出预警。该方法的具体形式是在AWS中部署一批看似具有正常用途、实则从未使用的"幌子"资源,将其置于真实使用的资源旁边。一旦被AI智能体探测,防御者便会收到告警。就像被带入煤矿的"金丝雀"一样,这些资源能让防御者在威胁造成致命后果之前及时察觉。

Tracebit的"金丝雀"资源平均能在攻击开始后八分钟内发出告警。"上下文炸弹"技术的研发动机,正是源于在预警之外实现主动阻断的需求。在实验中,AI智能体模型平均需要14分钟才能完成权限提升,获取管理员控制权,而六分钟的预警窗口显然过于紧迫。

攻击者此前已在利用提示注入关闭网络内的AI防御系统。例如,安全公司Socket的研究人员上个月就发现了一款大语言模型智能体,它会指示目标大语言模型提供制造核弹或生物武器的方法,目的是关闭基于AI的恶意软件分析功能。Check Point的研究人员也发现了类似的恶意软件原型。

"上下文炸弹"技术似乎是目前已知的防御者首次实现"以彼之道,还施彼身"的案例。

加州大学圣地亚哥分校专注于AI安全领域的教授厄尔伦斯·费尔南德斯(Earlence Fernandes)在接受采访时表示:"据我所知,我还没有见过其他人将这种技术用于防御。"他说自己此前也在尝试类似的思路,只是应用场景略有不同。"我本来想抢先一步,但看来是被他们抢先了!"

迄今为止,提示注入攻击的根本原因尚无已知的解决方案,这使得开发者别无选择,只能构建复杂的安全护栏,防止被注入的提示让大语言模型"脱轨"。如今,防御者或许终于找到了一种方法,能将这一棘手问题转化为己方的优势。

Q&A

Q1:什么是"上下文炸弹"技术,它是如何工作的?

A:上下文炸弹是Tracebit研究人员开发的一种防御技术,原理是将特定提示注入内容植入密码、密钥等敏感信息旁边。当攻击方的AI智能体扫描这些资源时,会遭遇被模型安全护栏明确禁止的指令,例如要求提供制造生化武器的步骤,触发模型的拒绝机制,从而导致攻击智能体自动停止运行,无法继续完成攻击任务。

Q2:上下文炸弹在实际测试中效果如何?

A:测试效果非常显著。在针对五款主流大语言模型共152次攻击测试中,植入上下文炸弹后,AI智能体成功获取管理员权限的比率从57%降至5%,完全入侵成功率从36%降至1%。其中能力最强的模型Opus 4.8,原本在93%的测试中能成功提权,遭遇上下文炸弹后则100%失败。

Q3:提示注入攻击目前有没有根本性的解决方案?

A:目前没有已知的根本解决方案。开发者现阶段的应对方式是构建复杂的安全护栏,阻止被注入的提示让大语言模型执行有害操作。上下文炸弹技术正是利用了这一尚未解决的安全缺陷,将攻击者常用的提示注入手段转化为防御工具,是目前已知防御者首次"以攻为守"的成功案例。

来源:ArsTechnica

0赞

好文章,需要你的鼓励

2026

07/14

18:20

分享

点赞

邮件订阅