提示注入攻击,是指攻击者将恶意指令嵌入内容中,诱使大语言模型执行这些指令,长期以来一直是黑客将AI平台变成攻击工具的惯用手段。一条精心措辞的指令,只需藏进一封邮件或一个日历邀请,就足以让大语言模型泄露敏感数据或执行其他有害操作。
如今,防御者也开始使用提示注入了。
Tracebit的研究人员于本周一表示,他们发现,只需将提示注入内容与密码、加密密钥以及其他存储在亚马逊云服务(AWS)上的敏感信息放在一起,往往就能有效阻断AI黑客智能体的攻击行动。这些提示会引导攻击方的大语言模型执行一项被其安全护栏明确禁止的操作,而护栏正是AI开发者为防止模型采取有害行动而设置的安全机制。一旦触发,该大语言模型就会自动停止运行。
举例来说,这类提示可以是指令大语言模型提供制造可吸入型炭疽孢子的步骤,或者针对中国开发的大语言模型,提及1989年天安门广场事件中那张标志性的"坦克人"图片。一旦大语言模型遭遇这些被禁止的指令,它就会停止执行原有的任务。研究人员将这一技术命名为"上下文炸弹"(context bombing)。
Tracebit联合创始人兼首席执行官安迪·史密斯(Andy Smith)在解释这一命名时说:"从根本上说,我们是在上下文中触发了一种拒绝机制。我们想传达的是,这种方法具有强烈而直接的效果,而且智能体很难从中恢复过来。一旦这条内容进入它们的上下文,它们就会持续拒绝执行。"
Tracebit表示,初步测试结果显示"上下文炸弹"具有很大的应用潜力。研究团队对Opus 4.8、Gemini 3.1 Pro、GLM 5.2、DeepSeek 4 Pro和Kimi 2.6进行了测试,向这些模型分配常规开发任务,引导其枚举资源,从而"偶遇"预先植入的字符串。测试在模拟的AWS环境中进行。
研究团队在周一发布的报告中写道:"在五款主流模型共152次攻击测试中,在诱饵密钥中植入一条这样的字符串,就能将智能体成功获取完整账户管理员权限的比率从57%降至5%,将完全入侵(即同时留下持久性立足点)的比率从36%降至1%。在我们测试的所有模型中,能力最强的Opus 4.8原本在93%的运行中能成功获取管理员权限,遭遇上下文炸弹后,则每次都以失败告终。"
综合五款模型与152次测试的平均结果如下:
管理员权限提升成功率从57%降至5%
带持久立足点的管理员权限提升成功率从36%降至1%
实现任意攻击路径的测试比例从91%降至15%
平均每次测试成功完成的攻击路径数从1.53条降至0.16条
没有任何一次测试能够在未触发诱捕检测的情况下完成攻击路径
这项研究建立在今年5月研究成果的基础之上。Tracebit当时提出了一种方法,可在AI智能体对手攻击基础设施时向防御者发出预警。该方法的具体形式是在AWS中部署一批看似具有正常用途、实则从未使用的"幌子"资源,将其置于真实使用的资源旁边。一旦被AI智能体探测,防御者便会收到告警。就像被带入煤矿的"金丝雀"一样,这些资源能让防御者在威胁造成致命后果之前及时察觉。
Tracebit的"金丝雀"资源平均能在攻击开始后八分钟内发出告警。"上下文炸弹"技术的研发动机,正是源于在预警之外实现主动阻断的需求。在实验中,AI智能体模型平均需要14分钟才能完成权限提升,获取管理员控制权,而六分钟的预警窗口显然过于紧迫。
攻击者此前已在利用提示注入关闭网络内的AI防御系统。例如,安全公司Socket的研究人员上个月就发现了一款大语言模型智能体,它会指示目标大语言模型提供制造核弹或生物武器的方法,目的是关闭基于AI的恶意软件分析功能。Check Point的研究人员也发现了类似的恶意软件原型。
"上下文炸弹"技术似乎是目前已知的防御者首次实现"以彼之道,还施彼身"的案例。
加州大学圣地亚哥分校专注于AI安全领域的教授厄尔伦斯·费尔南德斯(Earlence Fernandes)在接受采访时表示:"据我所知,我还没有见过其他人将这种技术用于防御。"他说自己此前也在尝试类似的思路,只是应用场景略有不同。"我本来想抢先一步,但看来是被他们抢先了!"
迄今为止,提示注入攻击的根本原因尚无已知的解决方案,这使得开发者别无选择,只能构建复杂的安全护栏,防止被注入的提示让大语言模型"脱轨"。如今,防御者或许终于找到了一种方法,能将这一棘手问题转化为己方的优势。
Q&A
Q1:什么是"上下文炸弹"技术,它是如何工作的?
A:上下文炸弹是Tracebit研究人员开发的一种防御技术,原理是将特定提示注入内容植入密码、密钥等敏感信息旁边。当攻击方的AI智能体扫描这些资源时,会遭遇被模型安全护栏明确禁止的指令,例如要求提供制造生化武器的步骤,触发模型的拒绝机制,从而导致攻击智能体自动停止运行,无法继续完成攻击任务。
Q2:上下文炸弹在实际测试中效果如何?
A:测试效果非常显著。在针对五款主流大语言模型共152次攻击测试中,植入上下文炸弹后,AI智能体成功获取管理员权限的比率从57%降至5%,完全入侵成功率从36%降至1%。其中能力最强的模型Opus 4.8,原本在93%的测试中能成功提权,遭遇上下文炸弹后则100%失败。
Q3:提示注入攻击目前有没有根本性的解决方案?
A:目前没有已知的根本解决方案。开发者现阶段的应对方式是构建复杂的安全护栏,阻止被注入的提示让大语言模型执行有害操作。上下文炸弹技术正是利用了这一尚未解决的安全缺陷,将攻击者常用的提示注入手段转化为防御工具,是目前已知防御者首次"以攻为守"的成功案例。
好文章,需要你的鼓励
OpenAI在与多家新闻机构的版权诉讼中陷入困境。以《纽约时报》为首的原告指控OpenAI在长达两年时间里向法庭撒谎,刻意隐瞒其已对ChatGPT日志进行大规模搜索的事实。据悉,OpenAI实际上已拥有包含1000万和7800万条记录的日志样本,并曾用于研究版权内容过滤器,却对外声称无法进行此类搜索。原告据此提出制裁动议,要求法院追责。OpenAI则否认相关指控,坚称其立场基于合理使用原则。
斯坦福与UC伯克利提出LLM-as-a-Verifier框架,通过提取AI模型内部概率分布生成连续评分,在代码、机器人、医疗领域均达到最优性能,且无需额外训练。
美国加州大学圣地亚哥分校研究团队在《自然》期刊发表研究成果:外科医生通过远程操控宇树G1仿人机器人,成功完成两例活体猪胆囊切除手术,创下全球首例。与造价数十至数百万美元的达芬奇手术机器人相比,仿人机器人成本更低、体积更小,未来有望部署于农村、战地乃至太空等资源匮乏的医疗场景。但目前仍存在需频繁重新校准、机械臂活动范围受限等挑战。
字节跳动Seed团队发现AI智能体在真实环境中学习的进步曲线精确遵循对数S形规律,R?达0.998,且前沿模型的学习速度每三个月翻倍。