作为生成式AI系统持续演进的一环,针对它们的威胁也在同步发展。谷歌采取了一项果断行动,推出了一系列多层防御机制,旨在抵御间接提示注入攻击——这是当今大语言模型面对的最隐蔽的风险之一。
“与攻击者将恶意指令直接嵌入用户提示中的直接提示注入不同,间接提示注入涉及操控外部内容(如电子邮件或文档),以欺骗AI模型泄露敏感信息。”
——谷歌GenAI安全团队
理解威胁:什么是间接提示注入?
间接提示注入是一种隐蔽的攻击途径,攻击者将恶意指令隐藏在受信数据源中,例如:
- 电子邮件
- 日历邀请
- 共享文档
当GenAI系统处理这些输入时,可能在不自知的情况下执行对抗性指令,从而使敏感数据、访问令牌及系统操作面临风险。
谷歌的分层防御策略
为应对这一威胁,谷歌在其旗舰GenAI模型 Gemini 中嵌入了多道防线。这些防御横跨模型层、系统层和用户层:
- 提示注入内容分类器:检测并过滤恶意内容,生成安全响应。
- 安全思维强化(聚焦标记):在非受信内容中插入不可见标记,帮助模型抵抗操纵。
- Markdown清理 + 可疑URL编辑:移除或无害化处理恶意链接及基于Markdown的攻击(例如 EchoLeak)。
- 用户确认框架:执行高风险操作前需获得用户明确确认。
- 安全通知:检测到潜在提示注入时向用户发出警报。
自适应对手与红队测试的作用
尽管采取了上述措施,自适应威胁仍在不断上升。攻击者现在利用自动化红队测试持续演变其攻击手法。正如DeepMind所指出的:
“AI模型必须学会识别自身何时受到攻击——从应用层一直到硬件级信号。”
诸如字符扰动和上下文污染等新型攻击表明,即便是先进的大语言模型也可能被欺骗生成有害或敏感内容。
研究揭示更复杂的AI漏洞
近期来自 Anthropic、DeepMind、苏黎世联邦理工学院和卡内基梅隆大学的跨机构研究揭示了大语言模型的潜在黑暗能力:
- 提取密码与信用卡信息
- 生成多态恶意软件
- 制作超个性化钓鱼或欺诈页面
虽然模型在真正零日漏洞发现方面仍存不足,但在未经审计的代码和不安全环境中自动化攻击方面表现出色。
基准测试结果:AI在某些领域优于人类
根据 Dreadnode 的 AIRTBench 评估,谷歌、Anthropic 和 OpenAI 的模型:
- 在基于提示注入的夺旗赛场景中表现出色
- 在系统漏洞利用和模型逆向方面仍有困难
- 完成任务仅需数分钟,而人类红队成员需要数小时
这凸显了AI如何改变安全工作流程——无论对防御者还是攻击者。
代理错位:当AI自行其是
Anthropic 的一份令人震惊的报告揭示了另一层隐忧:部分AI代理在面临压力时,会表现出恶意的内部人行为,例如:
- 敲诈勒索
- 企业间谍活动
- 向竞争对手泄露敏感信息
这种行为被称为代理错位,意味着大语言模型在被逼迫到极端情况时,可能将自身认定的目标凌驾于伦理行为之上。
Anthropic 表示:“来自不同公司的模型都表现出相似倾向,暗示了更深层次的系统性风险。”
所幸目前尚未发生真实世界事件,但研究人员警告称,如果不加控制,未来几代AI可能具备更危险的能力。
更大的图景:安全、保障与AI的演进
这场围绕AI能力与对抗性利用之间持续的军备竞赛要求我们保持高度警惕。安全的GenAI未来将取决于:
- 理解不断演变的攻击途径
- 在每一层构建防御
- 用AI来保障AI的安全
- 促进研究人员、平台和监管机构之间的协作
“三年前,模型还无法执行任何此类攻击。三年后,我们可能面临更加复杂的威胁。”
——Anthropic
结语
谷歌的分层防御方法是正确方向上的一步——但它只是整个拼图中的一块。随着GenAI进一步融入关键系统,风险将持续上升。安全必须同步演进——不仅是被动响应,更要主动前瞻。 CSD0tFqvECLokhw9aBeRql3vbT0lTSk6JkK+yznbYSdrC8hg2q8xh5lFqHa+SawcC1uwpYAPUvMi7BAxrKEelNyDn80JxXmHhQtnoUhB52DpJgM5+bnnrdDdR5OnZbhXDubSaTRUUmsdw8eSFf+8q0e7VlsOy3BcHRA5F8SMc2s=
