提示注入攻击：企业AI的主要漏洞

大型语言模型（LLM）正在积极融入企业流程，但其日益增长的普及也吸引了网络犯罪分子的关注。其中最严重的威胁之一是提示注入攻击——一种利用模型无法可靠区分指令和数据的攻击方法。2025年，这一漏洞被认定为关键风险：OWASP连续第二年将其列入LLM十大威胁，而CrowdStrike的报告显示，与去年相比，攻击数量增长了89%。

实际事件验证了这一问题的危险性。2024年8月，研究人员发现Slack AI*存在漏洞，允许攻击者通过公共聊天或文档中的恶意指令，从私密频道提取数据，包括API密钥。2025年6月，微软365 Copilot被发现存在漏洞（CVE-2025-32711），攻击者可通过一封电子邮件在无需用户交互的情况下访问内部文件。虽然这两起事件已得到修复，但它们表明，提示注入攻击并非理论威胁，而是企业面临的实际风险。

现代攻击针对复杂的AI系统架构。攻击者利用跨模型注入、RAG流程投毒、代理劫持和模型路由器操纵等手段。例如，针对RAG系统的攻击通过在企业知识库中注入恶意内容，进而操纵AI行为。能够与云基础设施和内部系统交互的代理，可能因单一恶意指令而被劫持。

为防范此类攻击，专家建议限制模型权限、分段处理不受信任的内容、验证RAG数据源并监控工具调用。关键措施是将LLM视为非可信组件，而非自主决策系统。若不采取这些措施，提示注入攻击将继续成为企业AI的主要威胁。