在其 2026 年全球威胁报告中,CrowdStrike 报告了 2025 年期间超过 90 个组织遭受的提示注入攻击。注入的提示生成了窃取凭据和加密货币的命令,这标志着一个重大转变,因为这些提示现在充当恶意软件。
该报告记录了人工智能支持的对手行动同比增长 89%。此外,82% 的入侵不涉及传统的恶意代码,这是在企业过渡到使用代理、副驾驶和浏览器自动化来访问电子邮件、代码、支付和文件共享时发生的。
Prompt Injection 连续两版在 OWASP 大型语言模型应用程序 Top 10 中保持 LLM01 的最高排名。 OWASP 强调,语言模型无法可靠地区分开发人员指令和不受信任的文本,从而将曾经的研究好奇心转变为操作漏洞。
当用户键入指令覆盖系统提示时,就会发生直接提示注入;而当攻击者将指令嵌入模型稍后读取的内容(例如电子邮件或文档)时,就会发生间接提示注入。用户看不到有效负载,代理无需交互即可执行恶意命令。
两起值得注意的事件揭示了这些漏洞的严重性。 2024 年 8 月,PromptArmor 披露,Slack AI 攻击者可以通过在公共通道或上传文件中植入指令来从私人通道中窃取数据。第二年,Aim Security 报告了 EchoLeak (CVE-2025-32711),其中一封精心设计的电子邮件指示 Microsoft 365 Copilot 检索内部文件并将其发送到攻击者控制的服务器,CVSS 得分为 9.3。这两个漏洞均已修复,但攻击类别仍未解决。
漏洞的表面区域已扩展到包括更广泛的代理堆栈,其中执行各种任务的代理将其上下文视为权威。这一发展意味着长期代理内存可以保留并重复执行恶意指令。
OpenAI 在 2025 年 12 月承认,即时注入不太可能完全解决,通常将其比作社会工程。 Anthropic 的 Claude Opus 4.6 系统卡表明,单次快速注入尝试的成功率为 17.8%,在没有采取防护措施的情况下,经过 200 次尝试,成功率上升至 78.6%。 Google 报告其 Gemini 部署的即时注入成功率为 53.6%。
2025 年 12 月,Gartner 建议 CISO 阻止所有 AI 浏览器,理由是间接提示注入以及与控制不足相关的其他风险。 Cyberhaven 报告称,27.7% 的组织至少有一名用户安装了被屏蔽的人工智能工具 Atlas,英国国家网络安全中心和德国 BSI 也发出了这一警告。
现有针对即时注入的防御措施的局限性源于语言模型中的共享文本通道。由于固有地无法将模型中的授权命令与不受信任的内容分开,输入验证、输出过滤和其他检测方法都很困难。
另一项调查结果表明,65.3% 的组织缺乏针对即时注入的专门防御措施,而是依赖供应商提供的措施和策略培训。有效的控制应包括限制每个代理的权限、要求关键操作得到人工批准、根据敏感性标记检索源以及实施审核实践。
当组织考虑人工智能部署时,我们鼓励安全团队向供应商询问检测能力、快速注入的成功率、遵守 OWASP 建议以及记录准确代理操作的能力。考虑到这些漏洞,企业必须假设模型偶尔会遵循注入的指令,从而需要强大的外部控制。
<小时/>
