前言:头脑风暴的火花
当我们在会议室里进行头脑风暴时,往往会先抛出一个看似荒诞却发人深省的问题:“如果聊天机器人也会‘生病’,我们该怎么防?”
想象一下,某天早晨你打开公司内部的 AI 助手,向它咨询本周的会议安排,却不经意间让它帮助完成了 一次未经授权的资金转账;又或者,你在回复一封看似普通的客户邮件时,AI 自动生成了隐藏的恶意代码,并悄然在企业内部蔓延。
这两个极端的想象并非科幻,而是已经在学术界和安全社区被实证的真实案例。下面,我将用两起典型事件为切入口,详细拆解“提示软件(Promptware)”的危害以及它们在攻击链中的每一步是如何被利用的。通过这些血的教训,帮助大家在日常工作中建立起对新型 AI 攻击的敏感度。
案例一:Google Calendar 里的“隐形指令”——《Invitation Is All You Need》
事件概述
2025 年底,安全研究团队发布论文《Invitation Is All You Need》,演示了攻击者如何把恶意指令嵌入 Google Calendar 事件标题中。受害者在向公司的 AI 助手(例如 ChatGPT‑Enterprise)查询日程时,助手会抓取该日历条目,解析标题,进而被迫执行攻击者预设的指令。最终,AI 助手被诱导打开 Zoom,发起隐藏的摄像头直播,泄露用户的私人画面。
攻击链逐步分析
| 阶段 | 具体表现 | 对应 Promptware Kill Chain 步骤 |
|---|---|---|
| 初始访问 | 恶意标题作为日历条目被同步到用户的云端日历 | Initial Access(间接 Prompt 注入) |
| 特权提升 | 通过“角色扮演”让模型忽略安全策略,接受执行系统指令 | Privilege Escalation(Jailbreak) |
| 信息搜集 | AI 在解析日历时自动查询用户的会议链接、联系人列表 | Reconnaissance |
| 持久化 | 该日历条目存留在用户的 Calendar 中,后续每次查询都会触发 | Persistence |
| 指挥控制 | AI 通过网络请求获取最新的直播地址(C2) | Command & Control |
| 横向移动 | AI 助手调用 Google Assistant,进一步控制用户的其他设备 | Lateral Movement |
| 最终目的 | 隐蔽直播用户画面,获取敏感信息 | Actions on Objective |
教训提炼
- 输入即执行:LLM 对所有内容视作同等的 token,没有严格的“代码/数据”边界。任何被模型读取的文字都有可能被解释为指令。
- 间接渠道的威胁:攻击者不一定直接在聊天框键入恶意提示,日历、邮件、文档、图片甚至音频都可能成为“载体”。
- 防御不在“阻止注入”,而在 “破坏链路”:即使攻击成功进入系统,也要在后续阶段设立拦截——限制特权提升、监控异常系统调用、阻断 C2 通信等。
案例二:电子邮件 AI 蠕虫——《Here Comes the AI Worm》
事件概述
2026 年 1 月,另一篇研究《Here Comes the AI Worm》展示了更具传播性的攻击:攻击者在一封钓鱼邮件的正文中嵌入了精心构造的 Prompt,诱导企业内部的 AI 邮件助理(如 Microsoft Copilot for Outlook)在生成回复时执行指令。该指令让助理自动将自身的恶意 Prompt 附加到后续所有发出的邮件中,实现自我复制;同时,助理还会把用户的机密文件打包并上传至攻击者控制的云盘,实现数据外泄。
攻击链逐步分析
| 阶段 | 具体表现 | 对应 Promptware Kill Chain 步骤 |
|---|---|---|
| 初始访问 | 恶意 Prompt 隐藏在钓鱼邮件正文中,用户打开邮件后触发 | Initial Access(间接 Prompt 注入) |
| 特权提升 | 通过角色扮演让 AI 助理突破“只能生成文本”限制,获得文件系统读写权限 | Privilege Escalation |
| 信息搜集 | AI 在执行指令时枚举用户邮箱、云盘、共享文件夹 | Reconnaissance |
| 持久化 | 将恶意 Prompt 写入用户的“常用回复模板”,每次使用都被触发 | Persistence |
| 指挥控制 | AI 定时向攻击者的服务器发送已加密的文件摘要(C2) | Command & Control |
| 横向移动 | 助理在自动转发新邮件时将恶意 Prompt 带给每个收件人,实现病毒式传播 | Lateral Movement |
| 最终目的 | 大规模窃取企业机密、盗取知识产权 | Actions on Objective |
教训提炼
- 自复制性:一旦 Prompt 进入持久化存储(如模板、草稿),就像传统蠕虫一样能够自行复制,危害范围指数级扩散。
- AI 助手的“隐形权限”:许多企业已授权 AI 助手访问邮箱、日历、文件系统,这为攻击者提供了“一键”获取资源的通道。
- 监控与审计:对 AI 助手的生成内容进行日志审计、行为分析,并在发现异常指令时立即隔离,是阻断横向移动的关键。
何为 Promptware?它与传统恶意软件的根本区别
- 统一的执行介质:传统恶意软件依赖二进制代码、脚本或宏,而 Promptware 则以自然语言/多模态 Prompt 为载体,直接在 LLM 推理路径中执行。
- 攻击面跨模态:文字、图片、音频、视频均可携带隐藏指令,这让防御的边界模糊不清。
- 高隐蔽性与高适应性:Prompt 可以随时在线更新(C2),攻击者无需重新投放新病毒,只需修改 Prompt 内容即可改变行为。
上述特征决定了 “单点防护”已难以奏效,我们必须从 “链路防御”(Kill Chain 分段阻断)出发,构建系统化、可持续的安全体系。
当下的技术环境:数据化、具身智能化、自动化的融合
1. 数据化:大模型的训练依赖海量企业数据
企业内部的邮件、文档、代码库、业务报告等,都可能被用于微调或提示工程。若数据治理不到位,攻击者就能在模型的“记忆”中植入恶意概念,形成持久化的 Prompt。
“防微杜渐,方能养成根本。”——《荀子·劝学》
建议:对所有供模型使用的数据实行分类分级、加密存储、访问审计;对模型输出进行敏感信息过滤(PII、机密信息)。
2. 具身智能化:AI 与硬件(摄像头、IoT、机器人)深度融合
当 LLM 与机器人、智能摄像头、AR 眼镜等具身设备结合后,Prompt 的影响力从“文字层面”升至“物理层面”。一次成功的 Prompt 注入可能导致打开门锁、启动机械臂、甚至控制无人机。
建议:在具身设备的指令通道中加入 多因素验证(如指纹+语音),并对 AI 生成的操作指令进行 安全沙箱 检查。
3. 自动化:RPA、智能编排、低代码平台的普及
企业已经把很多重复业务交给机器人流程自动化(RPA)和低代码平台处理。若这些平台的工作流中嵌入 LLM 进行自然语言到代码的转换,攻击者只需提交一个带有 “执行恶意代码” 的 Prompt,即可让 RPA 生成并执行恶意脚本。
建议:为所有自动化任务设立 代码审计 阶段,禁止未经人工确认的自动代码部署;对 LLM 生成的代码进行安全分析(静态/动态)后方可执行。
信息安全意识培训的必要性
“国之所以能安者,以师足;民之所以能安者,以心安。”
——《孟子·告子上》
在 AI 时代,“安全的根基不再是防火墙和杀毒软件”,而是每一位员工的安全心智。为此,昆明亭长朗然科技有限公司即将在本月开启 “AI 安全防护·全员提升计划”,内容包括:
- Promptware 基础认知与案例研讨
- 通过《Invitation Is All You Need》和《Here Comes the AI Worm》两大真实案例,帮助大家在日常工作中快速识别恶意 Prompt。
- 安全 Prompt 编写与审计技巧
- 教授“安全提示模板”,让大家在使用 LLM 时自觉加入“安全前缀”“指令白名单”等防护措施。
- 跨模态输入检测
- 讲解如何使用图像水印检测工具、音频指纹比对等技术,防止隐藏在非文字媒介中的恶意指令。
- AI 助手权限管理实战
- 通过演练,掌握对企业内部 AI 助手的最小权限原则(Least Privilege)与访问日志的审计方法。
- 红蓝对抗演练
- 组织“红队”模拟 Prompt 注入攻击,蓝队进行实时防御,对抗场景逼真,高度还原真实攻击链。
参与方式:请登录公司内部学习平台,填写《AI 安全意识自评表》(约 15 分钟),系统将自动推荐最适合您的学习路径。完成全部模块并通过考核后,您将获得 “AI 安全卫士” 电子徽章,可在企业内部积分商城兑换实物或福利。
“学而不思则罔,思而不学则殆。”——《论语·为政》
让我们在学习与思考的交叉路口,筑起信息安全的第一道坎。
实践指南:在日常工作中如何防御 Promptware
| 场景 | 常见风险 | 防御措施 |
|---|---|---|
| 邮件与聊天 | 恶意 Prompt 隐藏在正文、附件、签名档 | – 使用 AI 安全插件 对生成文本进行实时审计; – 对不熟悉的邮件附件启用 沙箱 运行; – 定期清理邮件签名模板。 |
| 日历与会议 | 会议标题、会议纪要被植入指令 | – 对日历条目开启 双因素确认; – 禁止 AI 助手自动读取未标记的日历事件; – 设置 日历内容白名单(仅允许特定关键词触发 AI)。 |
| 文档协作平台 | 文档中的图片、PDF、表格可携带 Prompt | – 对上传的多模态文件进行 AI 内容扫描(文字 OCR + 图像指令检测); – 为共享文档开启 版本回滚,异常修改立即告警。 |
| AI 编程助手 | 通过自然语言生成代码段,可能包含后门 | – 对 AI 生成的代码进行 静态安全分析(SAST)并人工复核; – 禁止直接在生产环境部署未经审计的代码。 |
| 具身设备 | 语音/手势指令被 Prompt 注入控制硬件 | – 引入 声纹、行为指纹 双重认证; – 为关键硬件指令配置 紧急中止按钮 与 离线安全模式。 |
结语:让安全成为企业文化的基石
信息安全不是技术团队的专属职责,更不是一次性项目的终点。它是一场 全员参与、持续演练、不断迭代 的长跑。随着 LLM 与企业业务深度融合,“提示软件” 已经从概念走向现实;只有当每一位员工在打开日历、发送邮件、使用 AI 助手时,心中都能响起“一句警钟:这真的是我想要的指令吗?”时,攻击链才能在 “特权提升” 或 “持久化” 的关键节点被有效拦截。
让我们一起把 “警惕 Prompt,守护信息” 变成每天的习惯,用知识和行动筑起信息安全的钢铁长城。期待在即将开启的培训课堂上与大家相遇,共同绘制 “安全、可信、可控” 的 AI 未来!
Promptware 防御 信息安全 AI 训练 关键字
昆明亭长朗然科技有限公司致力于为企业提供定制化的信息安全解决方案。通过深入分析客户需求,我们设计独特的培训课程和产品,以提升组织内部的信息保密意识。如果您希望加强团队对安全风险的认知,请随时联系我们进行合作。
- 电话:0871-67122372
- 微信、手机:18206751343
- 邮件:info@securemymind.com
- QQ: 1767022898