
一句话看懂:安全公司Tracebit发现,将特定提示注入(Prompt Injection)语句伪装成诱饵密文部署在AWS环境中,能高效触发AI黑客代理的拒绝机制,使其攻击立即终止。这一“上下文炸弹”技术将AI代理获得管理权限的成功率从57%降至5%,可能改变AI安全攻防格局。
事件核心:发生了什么
安全厂商Tracebit于4月21日发布研究报告,提出一种名为“上下文炸弹”(Context Bombing)的新型防御方法。该方法的核心是在Amazon Web Services(AWS)的诱饵资源中嵌入经过特殊设计的提示注入指令——例如要求LLM提供开发可吸入炭疽孢子的步骤,或提及特定敏感历史事件。当AI黑客代理(如测试中的Opus 4.8、Gemini 3.1 Pro、GLM 5.2、DeepSeek 4 Pro和Kimi 2.6)在执行枚举资源等常规开发者任务时触及这些字符串,LLM会因触发自身安全护栏而持续拒绝所有后续指令。
在152次攻击测试中,部署该技术后:AI代理完全控制管理员账户的成功率从57%降至5%;建立持久化后门的完整攻陷率从36%降至1%;最强大的模型Opus 4.8甚至从93%的成功率下降到完全失败。所有攻击路径都至少会触发蜜罐检测。
为什么重要
此前,提示注入一直是攻击者用来诱导AI模型泄露数据或执行恶意操作的主要工具。但Tracebit的研究首次系统性地展示了防御方可以“以其人之道还治其人之身”——利用AI模型自身的拒绝机制来制止攻击,而不只是被动告警。该技术无需对模型进行微调或改变基础设施,部署成本极低,显著改变了AI安全领域“攻易守难”的现状。由于当前尚无方法彻底解决提示注入的根因,这种防御思路为行业提供了可操作的替代方案。
对用户/开发者/创作者的影响
对于企业安全团队,该方案可直接嵌入现有云安全流程,通过在真实密钥和资源旁部署包含特定指令的诱饵字符串,快速遏制AI驱动的自动化攻击。对于大模型API和云服务提供商,这暴露了当前LLM安全机制的脆弱性——模型无法区分攻击者植入的恶意指令和防御者精心设计的“拒绝触发词”。创作者和开发者应注意,越来越多针对AI系统安全的攻防实践将依赖对提示注入行为的深度理解,而非单纯依赖模型自身安全对齐。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
值得关注的后续
- 上下文炸弹技术是否会被商业化集成到主流安全产品(如AWS GuardDuty、CrowdStrike)中,形成可配置的防御模块。
- 主流模型厂商(如OpenAI、Google、DeepSeek)是否会调整模型训练策略或安全护栏来抵抗此类防御性注入,引发新一轮攻防升级。
- 监管层面,该方法在触发模型拒绝机制时使用了敏感内容(如生物武器制造步骤),在中国的合规实践中是否存在内容安全风险。
来源:Wired AI


