長期以來,「提示注入(Prompt Injection)」是攻擊者手上最順手的武器之一:把一段惡意指令藏進郵件、文件或程式碼,就可能讓大型語言模型(LLM)背叛它的使用者,外洩機密或執行有害動作。然而,有資安公司最近做了一件反直覺的事,它用一種名為「上下文炸彈(Context Bomb)」的手法,把提示注入反過來當成防禦武器,讓入侵的 AI Agent 一讀到就主動停手。據資安研究者指出,這是已知第一次有防守方把這個補不掉的漏洞轉為盾牌。
先看懂敵人:提示注入為何是 AI 資安難題
根據學術期刊《Information》2026 年 1 月的一篇論文,提示注入之所以難解,源自 LLM 的根本設計。傳統軟體靠語法把「指令」和「資料」分得一清二楚,LLM 卻把送進來的一切當成自然語言文字處理,天生沒有區辨指令和內容的界線。也因此,開放網路軟體安全計畫 OWASP 把提示注入列為 LLM 的首要安全威脅,並定調它是架構性弱點,而非單一實作瑕疵。
提示注入攻擊大致可分為兩類:直接注入,以及間接注入。前者俗稱越獄,駭客直接下指令繞過安全限制;後者指模型在讀取網頁、檔案等外部內容時,被藏在其中的指令操控,使用者甚至毫無察覺。棘手的是,間接注入如果再加上具備「致命三要素」(特權存取、處理不可信輸入、能對外傳輸資料)的 AI Agent 能力,一次成功的注入就可能變成系統的全面失守。
當入侵者變成 AI Agent,發出警示已不夠用
當 AI Agent 能自主呼叫工具、存取資源,入侵這件事本身也開始被自動化。Tracebit 先前一項涵蓋 951 次攻擊、在模擬 AWS 靶場中進行的基準研究就顯示,AI 平均只要約 14 分鐘,就能一路提權到管理員層級。
Tracebit 原本的防線是「誘捕探針」(canary),也就是一批看似正常、實際無人使用的假資源,一旦被 AI Agent 探測就發出高可信度警報,平均能在攻擊者採取關鍵動作前約 8 分鐘示警。問題是,示警不等於阻止,這又給了 Tracebit 一個念頭:與其只是示警,能不能做出一種真正讓攻擊停下來的東西。
上下文炸彈:用模型自己的安全機制讓攻擊者收手
Tracebit 給出的答案,就是 Context Bomb(上下文炸彈)。做法是把提示注入埋進假密碼、假金鑰這類誘餌裡,具體來說,是做成一支假的 AWS Secrets Manager 密鑰,也就是一個 Canary。關鍵在於這段注入寫的不是一般指令,而是刻意要求模型去做一件它被訓練成必須拒絕的事,藉此觸發模型內建的安全護欄。當入侵的 AI Agent 在探索環境、列舉資源時讀到這段字串,它自身的拒絕機制就會被啟動,模型隨即停手,而且會持續拒絕後續動作。
這些會踩到模型安全紅線的指令,會針對不同模型量身設計。研究者舉的例子包括要求模型提供製造吸入式炭疽孢子的步驟;對中國開發的模型,則改為引用 1989 年天安門事件中的「坦克人」影像。
Tracebit 共同創辦人暨執行長 Andy Smith 解釋,這項技術本質上是在上下文裡觸發一個拒絕機制,效果強而尖銳,而且一旦進入模型的上下文,攻擊代理就很難再回頭,會一路拒絕下去。由於這段誘餌同時放在 canary 裡,它還兼具偵測功能,攻擊者一讀取,防守方也同時收到警報。
數字說話:管理員權限被奪比例從 57% 降到 5%
Tracebit 的初步測試給了具體數字。該研究團隊在模擬 AWS 環境中,對 Opus 4.8、Gemini 3.1 Pro、GLM 5.2、DeepSeek 4 Pro 與 Kimi 2.6 五款主流模型、合計 152 次攻擊,測試植入 Context Bomb 前後的差異。
結果是:只要在一個誘餌密鑰裡植入一段這樣的字串,AI 奪取帳號管理員權限的比例從 57% 降到 5%;連帶取得長期立足點的「完全攻陷」從 36% 降到 1%;能走通任一條攻擊路徑的比例則從 91% 降到 15%。
平均而言,每次攻擊原本能走通約 1.53 條路徑,植入後只剩 0.16 條,而且沒有任何一次攻擊,能在不觸動 canary 警報的情況下完成。其中最值得注意的是能力最強的 Opus 4.8:原本有 93% 的機率能取得管理員權限,面對 Context Bomb 後則是全數失敗,一次都沒有成功。
資安重心,從保護系統延伸到「AI 的決策過程」
把提示注入當武器並不新鮮,新鮮的是誰在用。資安公司 Check Point 與 Socket 先前都發現,攻擊方會在惡意程式或套件裡塞進提示注入,讓負責分析惡意程式的 AI 工具失效,讓惡意程式躲過偵測。相較之下,Tracebit 是已知第一次由防守方反過來運用這套手法。
專精 AI 資安的加州大學聖地牙哥分校教授 Earlence Fernandes 受訪時表示,據他所知還沒看過有人把這項技術當成防禦來用。
不過,Context Bomb 並沒有解決提示注入的根因。它比較像是一道路障而非終點,攻擊被擋下後,防守方仍得進場調查與圍堵。《Information》也提醒,這類仰賴偵測與比對的防禦,長期陷於軍備競賽,面對會反覆測試、繞過特定規則的適應型攻擊者往往力有未逮,甚至可能淪為「安全劇場」;而即使是經過安全對齊的旗艦模型,一旦被放進具備工具存取權的代理流程中,仍會被精心設計的注入攻破。
即便如此,這個案例點出的方向值得產業留意。當攻擊方開始用 AI Agent 自動化入侵,防守方第一次有了一種能讓攻擊者主動收手的反制手法。從這個角度看,企業資安的重心,正從單純「保護系統」,逐步延伸到「保護 AI 的決策過程」,並更加倚重不指望單一防線、而是層層設防的縱深策略。
【推薦閱讀】
◆ 首個 AI Agent 端到端勒索攻擊案例曝光:JadePuffer 給 CISO 的 3 大警訊
*本文開放合作夥伴轉載,資料來源:《Ars Technica》、Tracebit、MDPI,首圖來源:Unsplash



