安全公司CrowdStrike近期识别出五种新型提示词注入技术,这些技术可能给企业带来严重安全风险。提示词注入攻击利用了AI在企业中日益广泛的应用,通过欺骗大语言模型来接受人类操作者本能识别为可疑的指令。
CrowdStrike将以下五种新型攻击方式纳入其提示词注入分类体系:
触发式规则植入:攻击者植入一条表面上看似无害的新规则,但该规则可在特定条件下被激活,进而导致模型出现异常行为。
认知Token压制:通过引导模型的语言选择偏离已有的拒绝模式,绕过模型内置的安全防护机制。
算法化载荷分解:将恶意指令分多个阶段传递,每个阶段单独来看均显得无害,但组合在一起后便可拼合成一条威胁性更强的完整指令。
特殊Token注入:类似于在正常指令中嵌入伪造"控制开关",攻击者通过制造混乱,诱使模型将不可信的用户内容提升至高优先级系统指令的地位。
非知情用户上下文数据注入:利用受信数据与可执行指令之间的边界漏洞,诱骗用户将恶意指令作为上下文数据的一部分传递给大语言模型。提示词本身可能完全无害,恶意指令被隐藏在周围的上下文数据中。当用户上传文档、转发邮件或添加内容后,AI在处理这些内容时便会触发攻击。
CrowdStrike指出,安全团队可通过多种方式防范此类攻击,包括对所有模型上下文来源进行威胁建模、扩大测试覆盖范围,以及将检测工程延伸至针对组合型攻击的防御。
Q&A
Q1:提示词注入攻击是什么?它是如何危害企业的?
A:提示词注入攻击是一种利用大语言模型处理指令方式的漏洞实施的安全攻击手段。攻击者通过构造特殊输入,欺骗大语言模型接受本不应执行的指令,从而绕过安全机制或执行恶意操作。随着AI在企业中的广泛应用,大语言模型接触的数据来源越来越多,攻击面也随之扩大,企业面临的风险日益增加。
Q2:CrowdStrike新发现的五种提示词注入攻击中,哪种最难被察觉?
A:非知情用户上下文数据注入相对最难被察觉,因为提示词本身可能完全无害,恶意指令被隐藏在用户上传的文档、转发的邮件或其他内容的上下文数据中。用户在毫不知情的情况下将恶意指令引入系统,待AI处理这些内容时攻击才会触发,极具隐蔽性。
Q3:企业如何防御提示词注入攻击?
A:CrowdStrike建议企业从以下几个方面入手:对所有模型上下文数据的来源进行系统性威胁建模,识别潜在风险点;扩大安全测试的覆盖范围,涵盖更多攻击场景;并将检测工程能力延伸至组合型攻击的识别与防御,以应对多阶段、分步骤的复杂攻击手法。
好文章,需要你的鼓励
苹果已开始在印度分阶段恢复Apple账户的信用卡支付功能,用户可绑定Visa和Mastercard信用卡及借记卡,用于购买iCloud+、Apple Music订阅及App Store应用。此前,由于印度储备银行于2021年推出新的周期性支付监管框架,苹果于2022年5月暂停了该支付方式。此次恢复标志着苹果在适应各国本地化监管要求方面的持续努力,同时也引发外界对苹果是否将在印度推出Apple Pay的新猜测。
CGGS是华南理工大学与西湖大学联合提出的以自我为中心三维场景生成框架,通过一致性增强多视角扩散模型、光流深度估计和互信息几何优化,实现高保真文本驱动3D场景生成。
Bookshop.org创始人Andy Hunter证实,与Kobo的合作集成将于今年落地。此前该计划历经多次推迟,网页措辞一度从"2026年"改为"未来某时"。Hunter表示,双方已就商业条款达成一致,工程团队正将资源重新投入Kobo支持开发,但尚无具体上线日期。该集成将支持数字版权管理要求,让用户通过Bookshop.org购买电子书,同时支持独立书店。
南加州大学团队发现语音抑郁检测领域存在数据漏洞,并提出CLeaD跨语言对比对齐框架,揭示模型规模越大跨语言性能越差的反直觉规律。