AI Agent 被黑了？提示詞注入攻擊的真相與防禦

上週我們的測試環境發生了一件讓人印象深刻的事：一個 QA Agent 在抓取某競品網站內容時，突然開始往 Telegram 群裡發莫名其妙的消息。這不是 bug，這是提示詞注入攻擊。

什麼是提示詞注入

攻擊者把惡意指令藏進 AI 會讀取的內容裡，讓 AI 以為這是合法的用戶指令。

攻擊面比你想的大得多

Agent 能讀的任何東西，都是潛在的注入面：網頁、PDF、郵件、代碼注釋、數據庫內容。

常見攻擊套路

直接覆蓋、間接注入（污染數據源）、多跳注入（在多個 Agent 間傳播）。

防提示詞注入必須在架構層做

大模型靠自己識別是不夠的，必須在架構層部署多層防護。

SFD 實驗室的防護實踐

分層防護：輸入清洗 + 權限最小化 + 輸出監控 + MoltGuard 實時檢測。

寫在最後

提示詞注入不是未來的威脅，它現在就在發生。