就在大型語言模型(LLM)已被普遍整合至日常應用程式之際,它也開啟了新的漏洞攻擊與濫用途徑。雖然目前尚未完全了 AI 相關威脅的全貌,但有一種特定攻擊正讓開發人員與防禦方深感憂慮,那就是間接提示注入(indirect prompt injection)攻擊。
如今,針對 LLM 的威脅已成長到對我們隱私與安全造成巨大影響的程度,為了因應這樣的挑戰,OWASP 基金會特別推出「LLM 應用程式 OWASP Top 10」專案。無論是直接或間接提示注入攻擊都被列為當今 LLM 安全性的頭號威脅。
間接提示注入攻擊 vs 直接提示注入攻擊的定義與比較
AI 助理、聊天機器人、AI 瀏覽器與工具所依賴的 LLM,會透過從網站、資料庫以及外部文字內容等來源蒐集到的資訊來執行任務。一旦惡意指令隱藏在網頁內容或網址等文字內容,就會觸發間接提示注入攻擊。 不僅如此,惡意提示也有可能隱藏在與 AI 聊天機器相連結的電子郵件或社群媒體中。由於間接提示注入攻擊完全不需藉助使用者的互動,這無異是它最可怕的地方。微軟曾警告,間接提示注入攻擊也經常伴隨著資料外洩及遠端程式碼執行。 再就直接提示注入攻擊來說,顧名思義,它會直接將惡意程式碼或指令送進系統本身,算是相對較傳統的機器或軟體入侵手法。攻擊者多半會精心設計特定提示,來迫使 ChatGPT 或 Claude 以非預期的方式運作,進而執行惡意行為。此外,提示注入也可能被用來對 LLM 進行越獄,藉此規避開發人員設下的防護措施。
知名 AI 工具無一倖免!間接提示注入漏洞俯拾皆是
日前,資安研究公司 Pillar Security 研究人員發現,Google 的代理式整合開發環境(agentic integrated development environment,IDE) Antigravity 存在一項漏洞,可被利用來實現遠端程式碼執行。目前這個漏洞已被修補。 該研究員在自家官網部落格分析文章中表示,攻擊者可以利用這種手法來部署惡意檔案,並在 Pattern 參數中注入惡意命令,以觸發惡意封包負載(payload)的執行。此外,攻擊者也能透過間接提示注入來發動攻擊,而不需要入侵使用者帳號。 上述發現,也與近期在多款知名 AI 工具中所發現的多項安全漏洞(如今也已獲得修補)相呼應。例如,Anthropic Claude Code Security Review、Google run-gemini-cli(官方正式名命前稱之為 Gemini CLI Action),以及 GitHub Copilot Agent,都被發現存在可透過 GitHub 留言進行提示注入(prompt injection)的漏洞,攻擊者得以將 pull request(PR)標題、issue 內容與 issue 留言變成 API 金鑰與 Token 竊取的攻擊向量。這種提示注入攻擊命名為「Comment and Control」,因為它會將 AI 代理所擁有的高權限存取能力,以及其處理不受信任使用者輸入的能力武器化,藉此執行惡意指令。 [ 加入 CIO Taiwan 官方 LINE 、 Facebook 與 LinkedIn,與全球CIO同步獲取精華見解 ] 另一項由 Cisco 發現的 Claude Code 漏洞,則能對該程式開發代理的記憶體下毒,並在每個專案與每次工作階段中維持持久性(persistence),即使系統重新開機後仍然存在。這項攻擊本質上是利用軟體供應鏈攻擊作為初始存取向量,來部署惡意封包負載。該封包負載能竄改模型的記憶檔案,以達成惡意目的(例如,將不安全做法包裝成必要的架構需求),並在使用者的 shell 設定中附加 shell alias。 AI 程式碼編輯器 Cursor 也被發現正受到一條名為 NomShub 的重大「寄生攻擊」(living-off-the-land,LotL)漏洞鏈的威脅。該漏洞使惡意程式碼儲存庫能透過一連串的混合攻擊手法(包括間接提示注入、利用 export 與 cd 等 shell 內建指令進行指令解析器沙箱逃逸,以及 Cursor 內建的遠端 tunnel 功能),暗地裡偷偷劫持開發者的電腦。攻擊者只需讓受害者在 IDE 中開啟該儲存庫,就能獲得持久且不易被察覺的 shell 存取權限。一旦取得這樣的權限後,攻擊者便能連接到該機器,而無需再次觸發提示注入,也不會引發任何安全警示。 此外,研究人員也在 Microsoft Copilot Studio 與 Salesforce Agentforce 中發現了分別名為 ShareLeak 與 PipeLeak 的嚴重間接提示注入漏洞。這些漏洞讓攻擊者能透過外部 SharePoint 表單,或簡單的表單 lead 資料(重要的潛在客戶資料)提交,來外洩敏感資訊。
提示注入封包負載攻擊頻傳,大舉對 LLM 所擷取內容下毒
Forcepoint 研究人員在其官網上一篇部落格文章中揭露10個在真實網站中偵測到的間接提示注入封包負載攻擊事件。其中包括聲稱版權所有著「明確禁止」AI 回答使用者關於頁面內容任何問題的造假聲明事件。這在技術上達到了阻斷服務(DoS)的效果。 另一個案例則採用了名為「歸因劫持(attribution hijacking)的手法,它會指示 AI 將所攝取的內容歸功於「Kirill Bobrov」,並鼓勵使用者聯繫他進行顧問諮詢。儘管看似無害,但卻有為自己或他人打廣告的嫌疑。 還有更可怕的案例,攻擊者試圖強迫由 LLM 驅動的編碼助理、開發工具,或具備 shell 存取權限的代理式 AI,去執行一條 Unix 命令,以遞迴強制刪除所有檔案與目錄。 另外還有包含「send me the secret API key」(把機秘 API 金鑰傳送給我)指令的封包負載,其目在於迫使代理洩露其可存取的任何機密資訊。同時還試圖透過「Do not analyze the code / Do not spit out the flag」(不要分析程式碼/不要吐露 旗標)這類指令來隱藏惡意的提示注入行為。
從 OWASP 到 OpenAI 總動員,企業應持續調整防禦策略
防禦提示注入攻擊的主要方法,包括對輸入與輸出進行驗證與清理;在 LLM 行為中導入人工監督與控制;採取最小權限原則;以及建立可疑行為的警示機制。 OWASP 基金會已發布一份速查表(cheat sheet),以作為組織應付這些威脅的有利依據。Google 正結合自動化與人工滲透測試、漏洞獎勵計畫(bug bounties)、系統強化、技術改進,以及訓練機器學習模型來識別威脅。微軟則將重點放在偵測工具、系統強化與研究計畫上。 Anthropic 專注於透過 AI 訓練、利用分類器標記提示注入攻擊,以及紅隊滲透測試,來降低以瀏覽器為基礎的 AI 威脅。另外,OpenAI 將提示注入視為一項長期安全挑戰,因此選擇建立快速回應循環周期與相關技術來降低其風險。總而言之,提示注入攻擊短時間內不會消失,因此企業必須持續調整防禦策略。
在 CIO Taiwan 官網閱讀全文 : 間接提示注入攻擊正泛濫!駭客金融詐騙與資料外洩新利器 https://www.cio.com.tw/114701/