内部工具也要防 Prompt Injection
· 阅读需 2 分钟
内部工具的注入防护 这件事在 2023 年开始越来越频繁地进入真实项目,但很多团队一开始只看到表面收益,没有先把边界收住。只要 把内部场景默认视为可信,结果模型一旦读到带诱导内容的文档就开始偏航,问题就会很快从“一个小体验瑕疵”变成系统性的维护成本。
我现在更倾向的做法,是先把这类能力当成正式工程问题来看,而不是把它当成一个临时技巧。对我来说,最关键的一步通常是 工具调用权限、检索内容和系统指令都要做隔离,因为只有边界先明确,后面的优化、扩展和排查才不会一直漂。
真正容易被忽略的,往往不是功能能不能做出来,而是以下这些细节:
- 文档内容不要直接拥有系统级权限解释权
- 模型能调用什么工具,要靠白名单而不是自由判断
- 高风险动作前要做人审或二次确认
这些细节看起来都不大,但它们决定了系统是在 demo 阶段“能跑”,还是进入业务以后依然稳定。越是和 AI、工作流、构建链路这类复杂能力相关,越不能靠感觉把事情糊过去。
小结
内部工具不等于没有攻击面。只要模型能读内容、调工具,就必须把 Prompt Injection 当成正式风险管理。