商傳媒|責任編輯/綜合外電報導
資安專家警告,提示注入攻擊(Prompt Injection)仍是針對大型語言模型(LLMs)最具影響力且廣泛應用的攻擊手法之一。根據 OWASP LLM Top 10(2025年版),提示注入攻擊連續兩年被列為 LLM 特有漏洞中最關鍵的類別(LLM01),顯示其構成嚴峻的資安威脅。
CrowdStrike 在其 2026 年全球威脅報告中指出,「提示(Prompts)就是新型惡意軟體」。報告記錄了 2025 年,攻擊者對超過 90 個組織的合法生成式 AI 工具注入惡意提示。數據顯示,2025 年具備 AI 能力的攻擊者,整體攻擊量年增 89%,其中提示注入攻擊扮演了入侵點和攻擊效能放大器的雙重角色。
近年來,提示注入技術持續進化,不再僅限於操縱模型的輸出,而是將目標擴展到多代理架構(multi-agent architecture)、檢索增強生成(RAG)管道(Retrieval-Augmented Generation pipelines)與模型路由器(model routers),甚至長程記憶(long-term memory)能力。大型語言模型難以可靠區分指令與資料、資訊與情境、情境與中繼資料,以及使用者意圖與中繼資料,這些內在的設計缺陷為攻擊者提供了操控模型行為的機會。
實際案例層出不窮。PromptArmor 的研究人員在 2024 年 8 月揭露,Slack AI 存在提示注入漏洞,攻擊者可透過在公開頻道放置惡意指令或嵌入至上傳文件,從無權存取的私人 Slack 頻道中竊取資料,包括開發者頻道中分享的 API key。2025 年 6 月,Aim Security 的研究人員更揭露了名為 EchoLeak(CVE-2025-32711,CVSS 9.3)的零點擊提示注入漏洞,這是首個針對生產環境 AI 系統 Microsoft Copilot for Microsoft 365 的攻擊案例,攻擊者僅需發送一封惡意電子郵件,即可讓 Copilot 存取內部檔案並將其內容傳輸到攻擊者控制的伺服器。
攻擊者現可利用多種進階技術,例如「跨模型提示注入」來損壞特定模型的輸出,從而影響處理內容的其他模型;或是透過「RAG 供應鏈投毒」,在文件、部落格文章、GitHub READMEs 等資料中植入惡意資訊,等待企業的檢索增強生成(RAG)管道將其引入,作為攻擊向量。「代理程式劫持」(Agent hijacking)則讓攻擊者透過單一指令,就能讓 AI 代理程式執行錯誤行為,例如發送電子郵件、修改雲端基礎設施或執行惡意程式碼。此外,「情境溢出攻擊」(Context overflow attacks)利用數百萬個 Token 的情境視窗,將惡意程式碼置於文件中,導致大型語言模型在處理時執行並覆蓋先前的指令。「記憶投毒」(Memory poisoning)則能藉由大型語言模型的長程記憶機制,注入指令以永久性重新配置模型狀態;而「模型路由器操縱」則誘導模型路由器將查詢導向到最弱或防護最差的模型。
這些新型攻擊已使提示注入的風險不再僅限於「模型說了不該說的話」。到了 2026 年,提示注入可能觸發未經授權的動作、洩露敏感資料、破壞內部工作流程、操縱數據分析、改變業務邏輯,甚至損害多代理系統。為因應攻擊面戲劇性的擴大,資安專家建議企業應限制模型權限、將所有外部資料(包括檢索增強生成 RAG 來源)視為潛在威脅、監控工具呼叫並要求人為審批高影響行為、驗證內容來源以確保檢索增強生成(RAG)管道不引入惡意外部內容、強化模型路由器以防範惡意導向,以及將大型語言模型視為不可信任的元件。只有當組織將大型語言模型視為不可信任的解釋者,而非自主決策者,提示注入攻擊才會停止主導 AI 威脅領域。
