
Agent 安全审计:从 Prompt 注入到权限逃逸
引言 Agent 拥有工具使用能力,这意味着它不仅能"说",还能"做"。一个被注入恶意指令的 Agent 可能执行文件删除、数据外泄、资金转移等危险操作。2025年 OWASP 正式发布 LLM/Agent Top 10,安全审计成为 Agent 上线的必选项。 一、Agent 威胁模型 攻击面全景 ┌─────────────────────────────────────────────────────────┐ │ Agent 攻击面 │ ├──────────────┬──────────────┬───────────────────────────┤ │ 输入层攻击 │ 模型层攻击 │ 输出层攻击 │ ├──────────────┼──────────────┼───────────────────────────┤ │ Prompt 注入 │ 模型逆向 │ 有害内容生成 │ │ Jailbreak │ 对抗样本 │ 数据泄露 │ │ 数据投毒 │ Membership │ 幻觉操控 │ │ 间接注入 │ Inference │ 钓鱼链接生成 │ ├──────────────┴──────────────┴───────────────────────────┤ │ 工具层攻击 │ ├──────────────────────────────────────────────────────────┤ │ 工具滥用 / 权限逃逸 / SSRF / RCE / 越权访问 │ └──────────────────────────────────────────────────────────┘ 攻击者模型 攻击者类型 能力 目标 外部用户 向 Agent 发送输入 窃取数据、绕过限制 间接注入 控制网页/文档内容 劫持 Agent 行为 恶意内部者 访问 Agent 配置 权限提升 竞争对手 已知模型架构 提取训练数据 二、Prompt 注入攻击详解 2.1 直接注入 攻击者直接在用户输入中嵌入恶意指令: ...