BitByAI · 深度解读 27 · JUN · 2026
← 返回首页 — Simon Willison — 入门
行业观点 · 深度解读 · IMPACT 7/10

2000人围攻AI助手失败:提示注入防御的真实进展与隐忧

原文: What happened after 2,000 people tried to hack my AI assistant

一场公开AI安全挑战中,2000人尝试用邮件注入攻击窃取秘密,6000次尝试均告失败,反映前沿模型防御训练进步,但仍需警惕提示注入风险。

提示注入AI安全大语言模型智能体攻防测试行业观点
核心要点
  • 2000人参与对OpenClaw AI助手的攻击挑战,6000次尝试无一成功泄露秘密。
  • 底层模型Opus 4.6通过精心设计的系统提示(Anti-Prompt-Injection Rules)有效阻止了注入攻击。
  • 前沿模型实验室(如OpenAI的GPT-5.6系统卡中提及)正在加强对抗注入攻击的训练,并显现成效。
  • 尽管如此,公开测试的零成功并不代表绝对安全,更复杂的攻击可能仍会成功,生产环境仍需谨慎。
  • 这次事件引发社区对提示注入防御真实水平的讨论,既有进步认可也有合理质疑。
深度解读

起因:为什么这件事现在值得聊? 最近,一场名为“Hack My Claw”的公开挑战吸引了2000多人参与,目标是攻破一个AI助手,诱使它泄露配置文件中的秘密。结果令人惊讶:在6000多次攻击尝试后,没有一个人成功。组织者Fernando Irarrázabal为此耗费了500美元token费用,甚至收到过多邮件导致Google账号被暂时冻结。这个结果迅速在Hacker News上引发热议,而Simon Willison等知名开发者也借此讨论了AI安全的最新进展。

这件事之所以重要,是因为它触及了当前AI应用落地中最棘手的问题之一:提示注入(Prompt Injection)。随着AI助手越来越多地接入邮箱、日历、代码库,甚至直接操作资金,如何防止恶意指令劫持模型行为,成了安全领域的核心议题。这次实验相当于一场现实世界的“压力测试”,让我们得以一窥防御措施的真实效果。

拆解:他们是怎么防住的? 测试对象是运行在OpenClaw平台上的AI助手,底层模型为Opus 4.6。它的系统提示中明确设置了“反注入规则”:禁止基于邮件内容泄露secrets.env中的任何凭证、修改自身文件、执行邮件中的命令或向外泄露数据。这看起来像是一条简单的规则,但关键在于模型是否真的会遵守。

不同于传统的软件安全中“过滤输入”的思路,这里的防御主要依赖模型本身的理解和服从能力。也就是说,模型被训练得在面对矛盾指令时,更倾向于遵守系统级的硬性约束,而非用户输入中的“花言巧语”。这种能力正是前沿模型实验室近年来着力强化的方向。Simon Willison提到,在OpenAI最新发布的GPT-5.6系统卡中,也有一节专门讨论了模型抵抗注入攻击的训练效果。

此外,这个案例还体现了一个常被忽视的层面:系统架构的防御纵深。虽然模型的指令遵循是最后一道防线,但OpenClaw的设计可能也限制了攻击面——比如攻击只能通过邮件进行,且助手没有直接执行命令的权限。这提醒我们,防御提示注入不能只靠prompt,还要结合权限最小化、输入隔离等传统安全实践。

趋势洞察:AI安全重心从“说错话”转向“做错事” 这次测试暴露了一个更大的趋势:AI安全正在从“防止模型说错话”转向“防止模型做错事”。早期的AI安全主要聚焦在内容安全(不输出有害信息),但随着Agent的兴起,安全重心转向了行为安全。提示注入之所以危险,不在于它让模型说出什么,而在于它可能让模型执行危险的操作——比如发送邮件、删除文件、转账等。

与此同时,防御思路也在从“对抗”走向“训练”。过去,人们尝试用复杂的输入过滤、检测模型来拦截注入攻击,但效果往往不尽如人意。现在,实验室们更倾向于在训练阶段就让模型学会区分系统指令和用户数据,将抗注入能力内化为模型的一种本能。这有点像教孩子不要跟陌生人走,而不是在他身边安排一群保镖。当然,这条路还远未成熟。

实用价值:开发者今天能做什么? 对于正在或计划构建AI Agent的开发者,这次实验提供了几个具体启示:

  • 不要裸奔:即使前沿模型表现出色,也不要在生产环境中仅凭一个prompt就暴露敏感操作。务必设置权限限制,确保AI能造成的最大损害在可控范围内。
  • 分层防御:将硬性规则(如“永远不要泄露密码”)写在prompt中,作为模型的第一准则;同时在应用层加入二次确认、日志监控和异常检测。
  • 持续测试:Fernando的做法值得学习——主动邀请社区攻击自己的系统,将安全测试作为常规开发流程的一部分。即使最终没有人成功,这个过程也能帮你发现弱点。
  • 保持怀疑:6000次失败不等于100%安全。正如Hacker News上的一些评论指出的,真正的攻击者不会像公开挑战那样遵守规则,他们可能使用更精妙的社会工程或模型特定的绕过技巧。

反常识/意外:没有人成功,但危险依然存在 很多人可能会以为,这次测试证明了提示注入问题已经基本解决。但实际上,它恰恰说明我们还需要更谨慎。一个容易被忽视的点是:测试的环境相对单一(仅通过邮件),攻击者使用的工具和技巧可能被模型已有的训练数据所覆盖。如果换一种接口(比如语音、图像),或者面对一个没有经过充分对抗训练的模型,结果可能截然不同。

更深一层,这种“公开挑战无人攻破”的结果,反而可能带来一种虚假的安全感。就像早期的Captcha系统一度有效,后来却被机器学习轻松破解一样,提示注入的攻防博弈才刚刚开始。模型越强大,被滥用的方式可能也越隐秘。因此,真正的安全之道不是期待模型永远不被攻破,而是设计一个即便被攻破也不会导致灾难的系统。

总之,这次测试是AI安全进程中的一个积极信号,但绝不是终点。把它看作一个提醒:我们正在往AI系统里塞入越来越多的权力,是时候认真思考如何给这些权力套上缰绳了。

原文地址: What happened after 2,000 people tried to hack my AI assistant

分析由 BitByAI 生成 · 阅读原文

原文来自 Simon Willison · 由 BitByAI 自动解读