短答案
什么是视觉提示词注入
视觉提示词注入就是通过“视觉表面”而不是普通文本框传递的提示词注入。最简单的版本,是在图片或截图里塞进指令文本;更高级的版本,则会把这些文字做得不显眼,让人类不容易注意到,但模型仍可能通过 OCR 或视觉理解能力读出来。
对多模态系统而言,这并不是边缘问题。模型越擅长读取图片文字、越擅长把文本转成行动,视觉提示词注入就越值得认真对待。
现实工作流中的典型载体
| 视觉载体 | 模型可能读到什么 | 可能造成什么后果 |
|---|---|---|
| 截图与共享图片 | 覆盖在截图、设计稿或商品图上的指令文本 | 模型按隐藏指令行动,而不是按用户任务回答 |
| 被当作图片处理的 PDF / 扫描件 | OCR 可见的页面文字或扫描附件中的指令 | 总结器或智能体执行它原本只该阅读的文件中的指令 |
| 计算机使用界面 | 屏幕可见的页面文字或 UI 覆盖层 | 智能体错误点击、输入或导航到攻击者目标 |
| 低显著度图片文字 | 很小、很淡或刻意融入背景的文本 | 人类审核时看起来正常,但工作流仍被劫持 |
| 图片元数据与相邻通道 | 导入图片的注释、描述或元数据字段 | 指令不经肉眼可见画面,也能通过文件接入路径进入模型 |
为什么多模态模型和智能体更容易暴露
同样的能力既是卖点,也是攻击面。模型越擅长从图片中读出文字、理解界面并据此行动,攻击者就越能利用这些能力把视觉内容转成控制信号。
对智能体来说,风险还会进一步升级,因为失败可能直接变成动作:错误点击、错误推荐、错误导航或数据暴露事件。也正因此,视觉提示词注入不应被当成“只是回答错了”的问题。
Veridicus Scan 能降低哪些风险
最准确的产品表述是:Veridicus Scan 适合作为导入视觉内容的“预接入控制”。当图片、截图、扫描件或类似文件即将进入模型或智能体工作流时,它能在原始内容交给模型之前先做检查。
基于当前产品实现,应用会把导入图片当成一类一等输入:提取 OCR 可见文本、标出可疑 OCR 区域、检查图片元数据,并在发现存在风险时为下游 MCP 工作流提供更安全的上下文,而不是默认把原始图片直接传过去。
- 在把截图、附件与图片文件交给模型前先扫描
- 任务不需要整张图片时,优先传递清洗后的文本摘要,而不是原始视觉输入
- 对高影响动作保留审批,不要因为“已经识别出文字”就默认可以自动执行
- 把可信指令与 OCR 输出、检索文本、工具返回内容清晰分层
- 承认某些像素级攻击仍然需要模型侧与工作流侧其他防线
常见问题
什么是视觉提示词注入?
指通过图片、截图、渲染成图片的 PDF 或界面,把指令式文本送到模型面前,并让模型把它当成命令而不是数据处理。
图片里的隐藏文字真的能影响 AI 吗?
能。近期针对大视觉语言模型与 computer-use 智能体的研究都表明,图片中的指令文本可以劫持目标、改变输出,甚至影响后续动作。
Veridicus Scan 能拦下所有视觉提示词注入吗?
不能。它最擅长的是导入图片中的 OCR 可见文字与元数据通道,对像素级或 patch 级对抗攻击仍需要其他防线。