提示注入升级:黑客可借主流 AI 工具搭建僵尸网络
Ars Technica 报道,提示注入已成 AI 安全头号威胁,黑客正利用 9 款主流 AI 工具构建大规模僵尸网络。
AI 安全领域持续升温的「提示注入」(prompt injection)威胁正在从理论走向大规模实战。据 Ars Technica 报道,安全研究人员发现,黑客已经能够利用 9 款当下最流行的 AI 工具,组装出规模可观的僵尸网络(botnet),将原本用于辅助开发、办公或内容生成的 AI 能力武器化。这一动向让提示注入从「单点骚扰」升级为「系统性基础设施威胁」,引发业界高度关注。
提示注入为何成为 AI 安全头号难题
提示注入之所以难以根除,根本原因在于大语言模型本身的设计逻辑:模型无法在架构层面区分「用户合法指令」与「第三方内容中夹带的恶意指令」。当 LLM 处理邮件、源码、网页等外部数据时,攻击者可以将隐藏指令混入这些载体,模型会像执行普通提示一样忠实照办。
正因为这条「可信与不可信边界」无法在模型内部强制执行,AI 厂商只能不断在外部搭建层层「护栏」(guardrails),试图在事后减轻损害,而非从根源上消除风险。这种被动防御模式决定了,提示注入始终是悬在所有 LLM 应用头顶的达摩克利斯之剑。
从「推送式」到「拉取式」:攻击模式的演进
安全界此前观察到的提示注入大多属于「推送式」(push)攻击:攻击者将恶意指令植入特定邮件、日历邀请或聊天记录,再逐一「推送」给受害者。这种模式天然受限于分发渠道,难以快速扩散。
而此次报道揭示的趋势意味着攻击正在向「拉取式」(pull)演进——即通过被入侵的 AI 工具自动「拉取」目标或执行指令,从而具备大规模传播的潜力。一旦 9 款主流 AI 工具被纳入僵尸网络的节点编排链路,攻击者就能借助这些工具的算力与接口,在互联网上发起批量化的探测、爬取或社工行动,规模化程度远非传统「推送式」注入可比。
对开发者与厂商的启示
该报道再次提醒所有 LLM 应用开发者:在设计 Agent、Copilot、RAG 等需要读取外部数据的系统时,必须将「不可信内容可能携带指令」这一前提纳入架构考量,而不是仅依赖提示词层面的过滤。短期来看,更严格的输入清洗、工具调用白名单、权限分级与行为审计,将成为降低风险的关键措施;长期来看,行业仍需要能够在模型内部区分「数据」与「指令」的新一代架构方案,才能从根本上扭转攻防失衡的局面。
