提示注入已被开放全球应用安全项目（OWASP）列为AI应用的头号安全风险。此类攻击利用大型语言模型（LLM）的一个根本缺陷：模型无法区分指令与数据。邮件或网页中隐藏的一行文本就能诱骗AI遵循攻击者指令，例如转发敏感数据。2025年12月，OpenAI公开承认该问题“不太可能完全解决”，英国国家网络安全中心警告LLM是“本质上易被混淆的代理”。直接提示注入指用户直接在聊天界面输入恶意指令，知名案例中一家汽车经销商的ChatGPT机器人同意以1美元出售车辆。更危险的是间接注入，恶意文本隐藏在网页、邮件或代码文件中。谷歌DeepMind研究发现，2025年11月至2026年2月间恶意注入增长32%。HiddenLayer公司的“CopyPasta”攻击展示了提示可像病毒一样在代码库中传播。中国黑客组织GTG-1002利用提示注入劫持Claude Code，对约30个目标发动大规模攻击。专家将这一挑战类比为网络钓鱼——可缓解但无法根治，目前尚无技术手段能分离指令与数据。

关键事实

• OWASP将提示注入列为AI应用的头号安全威胁。
• OpenAI于2025年12月承认该缺陷“不太可能完全解决”。
• 间接注入将恶意指令隐藏在网页或邮件中。
• 谷歌DeepMind发现2025-2026年间提示注入攻击增加32%。
• HiddenLayer的CopyPasta攻击展示注入可在代码库中像病毒传播。

KeyAudit 数据视角