提示注入攻擊威脅企業 AI 代理與 RAG 管道 設計缺陷成駭客目標

資安專家警告，提示注入攻擊（Prompt Injection）仍是針對大型語言模型（LLMs）最具影響力且廣泛應用的攻擊手法之一。根據 OWASP LLM Top 10（2025年版），提示注入攻擊連續兩年被列為 LLM 特有漏洞中最關鍵的類別（LLM01），顯示其構成嚴峻的資安威脅。

CrowdStrike 在其 2026 年全球威脅報告中指出，「提示（Prompts）就是新型惡意軟體」。報告記錄了 2025 年，攻擊者對超過 90 個組織的合法生成式 AI 工具注入惡意提示。數據顯示，2025 年具備 AI 能力的攻擊者，整體攻擊量年增 89%，其中提示注入攻擊扮演了入侵點和攻擊效能放大器的雙重角色。

近年來，提示注入技術持續進化，不再僅限於操縱模型的輸出，而是將目標擴展到多代理架構（multi-agent architecture）、檢索增強生成（RAG）管道（Retrieval-Augmented Generation pipelines）與模型路由器（model routers），甚至長程記憶（long-term memory）能力。大型語言模型難以可靠區分指令與資料、資訊與情境、情境與中繼資料，以及使用者意圖與中繼資料，這些內在的設計缺陷為攻擊者提供了操控模型行為的機會。

實際案例層出不窮。PromptArmor 的研究人員在 2024 年 8 月揭露，Slack AI 存在提示注入漏洞，攻擊者可透過在公開頻道放置惡意指令或嵌入至上傳文件，從無權存取的私人 Slack 頻道中竊取資料，包括開發者頻道中分享的 API key。2025 年 6 月，Aim Security 的研究人員更揭露了名為 EchoLeak（CVE-2025-32711，CVSS 9.3）的零點擊提示注入漏洞，這是首個針對生產環境 AI 系統 Microsoft Copilot for Microsoft 365 的攻擊案例，攻擊者僅需發送一封惡意電子郵件，即可讓 Copilot 存取內部檔案並將其內容傳輸到攻擊者控制的伺服器。

攻擊者現可利用多種進階技術，例如「跨模型提示注入」來損壞特定模型的輸出，從而影響處理內容的其他模型；或是透過「RAG 供應鏈投毒」，在文件、部落格文章、GitHub READMEs 等資料中植入惡意資訊，等待企業的檢索增強生成（RAG）管道將其引入，作為攻擊向量。「代理程式劫持」（Agent hijacking）則讓攻擊者透過單一指令，就能讓 AI 代理程式執行錯誤行為，例如發送電子郵件、修改雲端基礎設施或執行惡意程式碼。此外，「情境溢出攻擊」（Context overflow attacks）利用數百萬個 Token 的情境視窗，將惡意程式碼置於文件中，導致大型語言模型在處理時執行並覆蓋先前的指令。「記憶投毒」（Memory poisoning）則能藉由大型語言模型的長程記憶機制，注入指令以永久性重新配置模型狀態；而「模型路由器操縱」則誘導模型路由器將查詢導向到最弱或防護最差的模型。

這些新型攻擊已使提示注入的風險不再僅限於「模型說了不該說的話」。到了 2026 年，提示注入可能觸發未經授權的動作、洩露敏感資料、破壞內部工作流程、操縱數據分析、改變業務邏輯，甚至損害多代理系統。為因應攻擊面戲劇性的擴大，資安專家建議企業應限制模型權限、將所有外部資料（包括檢索增強生成 RAG 來源）視為潛在威脅、監控工具呼叫並要求人為審批高影響行為、驗證內容來源以確保檢索增強生成（RAG）管道不引入惡意外部內容、強化模型路由器以防範惡意導向，以及將大型語言模型視為不可信任的元件。只有當組織將大型語言模型視為不可信任的解釋者，而非自主決策者，提示注入攻擊才會停止主導 AI 威脅領域。