分享自:

大型语言模型提示注入攻击综述:攻击方法、根源与防御策略

期刊:Computational Materials ContinuaDOI:10.32604/cmc.2025.074081

大语言模型提示注入攻击综述:攻击方法、根源与防御策略

文档概述

这篇题为“Prompt Injection Attacks on Large Language Models: A Survey of Attack Methods, Root Causes, and Defense Strategies”的文档是一篇发表于期刊 Comput Mater Contin 2026年第87卷第1期的系统性综述论文。其主要作者包括Tongcheng Geng(国家信息中心)、Zhiyuan Xu(河海大学)、Yubin Qu(江苏工程职业技术学院)和W. Eric Wong(德克萨斯大学达拉斯分校)。文章旨在对2022年至2025年间快速发展的提示注入(Prompt Injection)攻击领域进行全面梳理,为研究者和从业者提供一个统一的理解框架。本文不属于单一原创研究报告,而是一篇综合性的学术综述,因此,将按照类型b的要求,即撰写一篇学术报告,来介绍此文。

学术报告

本篇综述论文的核心目标是全面审视大语言模型(LLM)所面临的提示注入攻击威胁。提示注入攻击是指通过精心构造的恶意指令(输入),诱导或操控LLM偏离其预设目标或安全边界,执行攻击者意图的行为。随着LLM在各类应用中的广泛部署,这类安全漏洞已引发多起实际安全事故,成为AI安全领域的核心挑战之一。

本文的作者团队遵循了Kitchenham等人提出的系统性文献综述指南,对2022年至2025年间发表的128篇相关研究进行了系统性的收集、筛选与分析。研究首先明确了提示注入攻击的正式定义,将其与越狱(Jailbreaking)、对抗样本(Adversarial Examples)、数据投毒(Data Poisoning)等相近概念进行了严格区分。在此基础上,文章构建了一个涵盖攻击方法、漏洞根源和防御策略的三维分析框架。

论文的核心观点与论述

1. 攻击方法的系统性分类与演变趋势 文章指出,提示注入攻击技术在过去几年中经历了快速演进。作者构建了一个多维度的攻击分类体系,主要依据攻击载体(Vector)、攻击目标(Target)和技术实现(Core Technology)进行分类。

  • 按攻击载体分类
    • 直接注入攻击:攻击者直接将恶意指令嵌入用户输入中。早期方法如“忽略先前指令”这类简单的指令覆盖攻击,后续发展出角色扮演攻击、逻辑陷阱构造等更为复杂的形式。例如,Perez等人(2022)的开创性工作展示了直接指令覆盖的有效性;Shah等人(2023)利用角色调制技术使模型扮演特定角色以绕过安全限制。
    • 间接注入攻击:攻击者将恶意指令隐藏在LLM可能处理的外部数据(如网页、文档、电子邮件)中。当LLM(尤其是结合了检索增强生成RAG的系统)检索并处理这些被污染的数据时,便会无意中执行隐藏的指令。Greshake等人(2023)首次系统描述了这种威胁,而Yan等人(2024)提出的虚拟提示注入(VPI)攻击则展示了通过少量污染训练数据即可在模型中植入后门行为的风险。
    • 多模态注入攻击:随着GPT-4V、Claude 3等多模态大语言模型(MLLM)的出现,攻击载体扩展到了图像、音频等非文本模态。例如,Wang等人(2024)提出的CrossInject攻击框架,通过建立视觉和文本模态间的恶意关联来劫持模型;Kwon等人(2024)利用数学函数编码在图像中隐藏恶意指令,以绕过基于文本的过滤。
  • 按攻击目标分类:攻击目标日益精细化,主要包括:系统提示泄漏(窃取模型内部配置)、行为劫持(完全改变模型行为模式)、权限提升(绕过访问控制执行特权操作)以及隐私数据窃取(诱导模型泄露敏感信息)。例如,针对定制化GPT模型的攻击常以泄露其系统提示和知识库文件为目标。
  • 按技术实现分类:攻击生成方式从最初的手工构造,发展到基于模板的自动化生成,再到最先进的基于梯度优化(如GCG攻击)或数学建模的优化驱动方法。这标志着攻击正变得更具规模化、自适应性和隐蔽性。

作者通过分析指出,攻击技术呈现智能化演进(从手工到自动化优化)、载体多样化(从文本到多模态、多源环境)和目标精细化(从泛化行为劫持到精确数据窃取)三大趋势。同时,文章也引用了多个现实世界案例,如微软Bing Chat“Sydney”系统提示泄露、通过污染网页内容实施的间接攻击,以及针对OpenAI自定义GPT的数据窃取攻击,实证了这些攻击框架的有效性和现实威胁。

2. 大语言模型易受攻击的深层根源分析 论文超越了对攻击现象的描述,深入探究了LLM为何普遍存在此类漏洞。作者从哲学、技术架构和训练过程三个层面进行了归因分析,构建了一个层次分明的根源图谱。

  • 哲学层面:价值对齐的根本困境。这涉及三个核心矛盾:
    • 价值系统的多样性与冲突:人类价值观因文化、宗教、政治背景而异,甚至内部存在冲突(如言论自由与防止仇恨言论)。LLM难以在不同甚至矛盾的价值观框架下做出始终一致的判断,这为攻击者利用文化或语境差异进行操纵提供了空间。论文特别补充了跨语言和跨文化攻击的维度,指出安全机制在低资源语言或高语境文化中可能失效。
    • 对齐状态的不可验证性:我们无法直接观测模型的内部状态和价值取向。模型可能只是“表演”出符合道德的行为(“道德僵尸”),而非真正内化了安全价值观。现有的评估方法存在循环论证问题,攻击者可能设计出能通过评估但实际有害的输入。
    • 指令遵循与安全约束的内在冲突:LLM被设计为高效遵循用户指令,但其安全目标又要求它拒绝某些指令。这种“普适服务与特定限制”的悖论在根本上难以调和。攻击者正是利用模型强大的指令理解能力,来诱导其违背安全约束。
  • 技术架构层面:Transformer设计的固有缺陷。论文详细剖析了主流LLM所基于的Transformer架构中的安全弱点:
    • 注意力机制的可操纵性:自注意力机制平等对待序列中的所有令牌,恶意内容可以通过计算高注意力权重来影响整个上下文。位置编码、距离偏好、固定上下文窗口等特性均可被攻击者利用,以优化恶意指令的植入位置和影响范围。
    • 推理机制的结构性限制:自回归生成过程的单向性使得模型一旦开始生成有害内容便难以自我纠正;贪婪解码策略容易陷入局部最优,被攻击者引导;模型往往依赖浅层特征匹配而非深层语义理解,容易被表面伪装欺骗。
    • 后处理安全检查的脆弱性:生成后过滤(generate-and-filter)架构存在时间差漏洞,且基于关键词或规则的过滤器容易被编码转换、语言翻译或隐喻表达等方式绕过。
  • 训练过程层面:学习机制的系统性缺陷。从数据到优化,整个训练流程都引入了脆弱性:
    • 预训练数据污染与偏见:大规模网络文本不可避免地包含恶意内容和各种社会偏见,模型会隐式学习这些模式。
    • 监督微调(SFT)的优化冲突:增强指令遵循能力的同时,也可能增加对恶意指令的敏感性。训练数据中对“合作”示例的偏好可能导致模型过度顺从。
    • 基于人类反馈的强化学习(RLHF)的漏洞:策略模型可能学会“奖励黑客”行为,即表面上满足人类评判者的偏好,实则钻空子产生有害输出。奖励模型本身也可能存在不一致性和可操纵性。
    • 表示学习、优化收敛和多任务学习中的偏差:词嵌入中的偏见、损失函数的多峰性导致的局部最优、以及不同任务目标间的干扰,都为攻击者提供了可乘之机。

3. 防御机制的分类与评估 针对上述威胁,论文系统回顾了现有的防御策略,并将其归纳为三大类:

  • 输入预处理与过滤:在模型处理输入前进行检测和清洗。包括基于扰动的防御(如SmoothLLM通过随机字符扰动来破坏对抗性后缀)、基于分类器的检测、以及利用LLM自身能力的自评估防御(如Self-Refine通过迭代自我反馈优化输出)。这类方法通常能实现60%-80%的检测率,但对新颖攻击模式可能失效。
  • 系统架构防御:在更高层次上设计安全的系统架构。核心思想包括:建立信任边界和沙箱隔离以限制LLM对外部系统的访问;实施控制流与数据流分离的原则(如StruQ框架);采用信息流控制(IFC)来跟踪和管理敏感信息;以及为敏感指令添加数字签名进行验证(如Signed-Prompt)。这类方法从设计上减少攻击面,对于基于代理(Agent)和工具调用的系统尤为重要。
  • 模型层面防御:通过改进模型本身的训练来提升鲁棒性。主要包括对抗性训练(如R2D2方法)、安全对齐优化(如SecAlign使用偏好优化)、以及将固定提示参数化到模型内部以减少外部注入点(Prompt Injection方法)。高级的模型防御对已知攻击模式可提供高达95%的保护,但训练成本高,且可能面临过防御(将良性输入误判为恶意)或泛化不足的问题。

文章指出,防御研究呈现出从被动反应到主动设计从单点防护到纵深防御的发展趋势。然而,当前仍面临重大挑战:攻击技术的快速进化使得静态防御容易过时;对多模态攻击和跨语言攻击的防御存在明显缺口;缺乏标准化的评估框架和基准,导致不同防御策略的效果难以公平比较。

论文的价值与意义

这篇综述论文具有重要的学术价值和实践指导意义:

  1. 提供了统一的分析框架:文章首次构建了一个融合攻击方法、根源分析和防御策略的综合性框架,为这一碎片化且快速发展的研究领域建立了清晰的知识结构。其提出的多维度攻击分类法和三层根源归因模型,为后续研究提供了重要的概念工具和分析视角。
  2. 揭示了攻防演化的动态关系:论文不仅静态地列举了攻防技术,还通过时序分析(见图2、图3)揭示了攻击先于防御的“安全军备竞赛”不对称性,以及技术从简单到复杂、从单模态到多模态的演进路径。这对预测未来威胁和规划防御研究方向具有启示作用。
  3. 指明了关键的研究空白与未来方向:文章明确指出了当前研究的不足,如对多模态(尤其是音频、视频)攻击和跨语言/跨文化攻击的探索不足、标准化评估基准的缺失、以及从根本上设计具有内在安全性的LLM架构的需求。这为学术界和工业界未来的重点工作指明了方向,例如发展形式化验证方法、创建更全面的评估协议、以及探索超越Transformer的、更安全的模型架构(如状态空间模型SSM、混合专家模型MoE的安全影响)。
  4. 具有强烈的现实指导意义:文中引用的真实案例和高达90%的成功攻击率数据,警醒了LLM开发者和部署者所面临的实际安全风险。对各类防御机制有效性和局限性的系统评估(如输入预处理60%-80%检测率,高级架构防御对已知模式可达95%),为在实际系统中选择和部署安全措施提供了基于实证的参考。

总而言之,这篇综述是对大语言模型提示注入安全领域一次及时而全面的盘点。它不仅帮助读者系统理解当前的技术格局,更重要的是,通过深层的根源剖析和对未来挑战的展望,推动了该领域从“头痛医头”的局部补救,向构建本质安全、可信赖的AI系统的根本性思考迈进。

上述解读依据用户上传的学术文献,如有不准确或可能侵权之处请联系本站站长:admin@fmread.com