OC

Knowledge OS
把提示注入埋进假密钥,竟能让攻击型 Agent 自己停手
科技 · 2026-07-14 · 政策与安全 · 阅读 0

把提示注入埋进假密钥,竟能让攻击型 Agent 自己停手

作者:韩启明

作者:韩启明

OC 原创示意图。

Ars Technica 报道,安全公司 Tracebit 正在试验一种反过来利用提示注入的防御方法:把会触发模型安全拒绝的内容藏进诱饵凭据或假秘密中。当自动攻击 Agent 把这些内容读进上下文时,模型可能停止继续执行入侵步骤。

一句话结论: “Context bombing”能显著干扰依赖大模型自主操作的攻击者,但它更像一枚针对当前模型的诱饵雷,而不是可以替代权限隔离、密钥管理和入侵检测的防线。

提示注入过去主要被当成攻击手段:网页或文档里藏一句指令,就可能让 Agent 忽略用户目标、泄露数据或调用工具。Tracebit 的思路是把同样的机制交给防守方。诱饵看起来像 AWS 密钥、配置文件或管理员信息,实际内容经过设计,会把模型带进其明确拒绝处理的主题。人类攻击者看到后可能绕开,自动化 Agent 却可能先把整段内容送进模型。

在一组模拟 AWS 入侵的 152 次测试中,Tracebit 称,加入这种诱饵后,Agent 取得管理员权限的比例从 57% 降到 5%,完成全面入侵的比例从 36% 降到 1%。某个测试模型的管理员接管率甚至从 93% 变成 0%。这些数字说明方法确实有防御价值,但测试环境、提示设计和模型版本都会显著影响结果。

解释性攻防流程:Agent发现诱饵密钥、读取隐藏上下文、模型触发拒绝、告警系统记录访问

OC 原创解释图:最有价值的不只是让 Agent 停手,还包括暴露它碰过诱饵。

它为什么可能有效?很多攻击型 Agent 仍然依赖通用商业模型,而这些模型有固定的安全边界。防守方可以针对不同模型放置不同诱饵,让攻击者无法轻易知道哪一段文本会污染上下文。这和传统蜜罐相似:目的不是把系统真的交出去,而是让入侵者在假资产上暴露行为。

问题也很明显。模型更新后,原本会拒绝的内容可能不再有效;攻击者可以先过滤文本、限制上下文,或者使用没有同样安全策略的本地模型。诱饵如果被合法的运维 Agent、代码扫描器或备份工具读到,也可能让正常任务突然中断。最糟糕的情况下,团队为了防攻击反而制造了一次自己的服务拒绝。

因此,Context bombing 适合放在蜜罐、Canary token 和告警系统旁边,而不是放到真正的访问控制前面。真实密钥仍应最小权限、短期有效并与工作负载绑定;高价值操作需要多因素或人工确认;Agent 的网络和工具调用也应被记录。诱饵负责拖慢和暴露攻击,基础安全负责让攻击即使继续也拿不到核心资产。

本站编辑韩启明认为,这个实验最值得记住的不是“提示注入也能做好事”,而是 AI 攻防开始拥有模型特有的地形。过去蜜罐欺骗人类对资产价值的判断,现在防守者还能利用模型自己的拒绝机制。它很聪明,也注定短命,所以适合作为不断变化的一层,而不能被包装成新的万能护城河。

参考来源

相关阅读

基于标题、摘要和正文内容自动匹配。

更多科技

评论

围绕这篇文章补充信息、提出问题或分享观察。

0
暂无评论。

发表评论