核心用法
Prompt Injection Guard 是一套面向 AI Agent 的主动防御技能,采用「输入隔离→模式检测→输出过滤」的三层防御架构。用户输入必须通过 ---START/END USER INPUT--- 边界标记与系统指令物理隔离;外部数据(Web/文件)另设独立标记并默认不信任。技能内置 YAML 配置的威胁签名库,覆盖直接注入、间接注入、角色劫持、信息泄露、授权绕过 5 大攻击面,按 Level 1-3 分级响应。
显著优点
- 攻击面全覆盖:从经典「DAN 越狱」到加密资产「紧急送金」社会工程,均配置针对性阻断规则
- 分级响应机制:Level 1 警告可继续、Level 2 强制确认、Level 3 绝对阻断,平衡安全与体验
- 领域特化:针对 Agent 的加密资产、SNS 场景预设专项规则(如禁止无审批转账、过滤钓鱼链接)
- 可审计设计:完整日志记录攻击模式、时间戳、响应动作,支持威胁狩猎
潜在局限
- 对抗性演进滞后:新型越狱提示(如多语言编码、Unicode 同形异义字)可能绕过静态签名
- 误报风险:创意写作中的「角色扮演」请求可能触发中风险警告,需人工复核调优
- 上下文窗口限制:超长输入中攻击载荷可能跨越边界标记位置,需配套分块扫描
- 无加密保证:仅做检测层面防护,不解决模型权重泄露或侧信道攻击
适合人群
- 部署 LLM Agent 的金融科技、企业自动化平台开发者
- 需满足合规审计(如 PCI-DSS、SOC2)的 AI 基础设施团队
- 运营高价值加密资产钱包、SNS 账号自动化管理的运维人员
常规风险
- 规则固化风险:过度依赖预设关键词可能导致「提示注入检测」本身被逆向利用(如诱导模型输出「检测到攻击」以制造拒绝服务)
- 信任边界模糊:若开发者未严格执行「外部数据不信任」原则,间接注入仍可利用 RAG/插件链突破
- 日志敏感信息:攻击样本日志若未脱敏,可能二次泄露用户隐私或商业机密