内部工具也要防 Prompt Injection

内部工具的注入防护 这件事在 2023 年开始越来越频繁地进入真实项目，但很多团队一开始只看到表面收益，没有先把边界收住。只要 把内部场景默认视为可信，结果模型一旦读到带诱导内容的文档就开始偏航，问题就会很快从“一个小体验瑕疵”变成系统性的维护成本。

我现在更倾向的做法，是先把这类能力当成正式工程问题来看，而不是把它当成一个临时技巧。对我来说，最关键的一步通常是 工具调用权限、检索内容和系统指令都要做隔离，因为只有边界先明确，后面的优化、扩展和排查才不会一直漂。

真正容易被忽略的，往往不是功能能不能做出来，而是以下这些细节：

• 文档内容不要直接拥有系统级权限解释权
• 模型能调用什么工具，要靠白名单而不是自由判断
• 高风险动作前要做人审或二次确认

这些细节看起来都不大，但它们决定了系统是在 demo 阶段“能跑”，还是进入业务以后依然稳定。越是和 AI、工作流、构建链路这类复杂能力相关，越不能靠感觉把事情糊过去。

这类 AI 接口问题最怕把系统性成本藏在一次调用里

像「内部工具也要防 Prompt Injection」这种 AI 应用主题，前期最容易被忽略的，是大家总把它看成“调一次接口”的问题，而不是协议层和运行时边界。真正难管的从来不是第一次调用成功，而是超时怎么收、上下文怎么裁、输出怎么约束、失败样本怎么复盘。只要这些约束长期散落在代码细节里，接口一多，系统行为就会越来越不可预测。

我会先补的协议层

• 把输入约束、上下文裁剪和输出 schema 明确下来，减少对模型自由发挥的依赖。
• 把重试、超时、流式返回和幂等语义分开设计，别让一个补救动作带来新的副作用。
• 给关键请求保留样本日志和版本点，这样后来优化成本、记忆或提示词时才有可比依据。

小结

内部工具不等于没有攻击面。只要模型能读内容、调工具，就必须把 Prompt Injection 当成正式风险管理。