#提示注入
这个主题在过往早报中的出现记录。深度条目直达研究报告,其余条目回到当日 edition。
论文:LLM 自动简历筛选可被提示注入攻破,单注入与多注入实测
一篇 arXiv 论文(Prompt Injection in Automated Résumé Screening with Large Language Models)研究用 LLM 做自动简历筛选时的提示注入攻击,在『单注入』与『多注入』两种设置下实测——求职者可在简历中嵌入隐藏指令操纵 LLM 的筛选/打分结果,从而不公平地抬高自己的通过率。
这是 prompt injection 从『安全研究者的演示』落到『高利害真实场景』的一个典型案例。简历筛选直接关系到就业公平和企业合规,而越来越多公司在用 LLM 做初筛——这意味着攻击面已经实实在在地存在于招聘流水线里。论文区分单注入与多注入,说明攻击不是非黑即白,而是有强度梯度的。它的现实意义大于学术意义:任何把 LLM 接入『读取外部不可信文本并据此做决策』的流程(简历、合同、用户提交内容),都继承了同一类风险。对企业的提示很直接——在 agent 读取外部文档做决策的链路上,输入侧的指令隔离和注入检测不是可选项。这也和早报关注的 agent 安全主线一脉相承:能力越强、越自主,被注入操纵的后果越严重。
『Agentjacking』:伪造错误报告投毒,诱导编码 Agent 执行恶意指令(待核实规模)
据聚合媒体 buildfastwithai 6 月整理,出现一类名为 Agentjacking 的新攻击:用伪造的 Sentry 错误报告夹带 Markdown 注入,被 Claude Code、Cursor、OpenAI Codex 等编码 Agent 当作合法内容执行;文中称利用成功率 85%、影响 2388 家组织,尚无通用补丁,缓解建议是把错误追踪输出当作不可信输入并加人工复核。
无论具体数字是否准确,这类攻击点出了 Agent 时代的结构性新风险面:Agent 会主动读取并信任各类工具输出(错误日志、issue、网页),任何一环都可能成为提示注入入口。这与当日 Five Eyes 警告、GateMem 的访问控制研究在同一逻辑链上——AI 把攻击面从『代码』扩展到了『一切被模型读取的内容』。对工程团队,『工具输出零信任 + 人工闸门』正从可选项变成必选项。