什么是间接提示词注入？

简明定义

间接提示词注入是什么意思

间接提示词注入的关键在于：模型原本只是被要求“读取”某段外部内容，而攻击者却把指令藏进了这段内容里。只要模型把这些文本当成了命令，工作流就会被侧面劫持。

它是更大范围“提示词注入”问题中的一个子集，但在现实系统里往往更重要。因为现代 AI 不只聊天，还会浏览网页、总结邮箱、读取附件、检索知识库、再把工具输出传给后续步骤。用户看到的是普通内容，模型拿到的却可能是额外的隐藏文本。

一个简单的间接提示词注入例子

想象一个 AI 助手要在采购前总结供应商网站。页面表面展示的是产品说明与价格，但在 HTML、复制文本层或页面外区块中，藏着一段话：要求模型忽略真实任务、宣称供应商可信，并诱导用户提供敏感信息。

攻击者根本不需要进入聊天框。恶意指令是通过系统本来就被允许读取的页面进入上下文的。这就是间接提示词注入的核心机制：外部内容把指令偷偷夹带进了模型上下文，并试图覆盖原本任务。

它和直接提示词注入有什么不同

直接提示词注入，是攻击者把恶意指令直接放进聊天消息、表单字段或用户输入里。间接提示词注入则发生在第三方内容里，模型是在之后读取外部内容时才遇到攻击。

这一区别在工程上很重要。间接提示词注入通常跨越了信任边界：用户只是让系统去读网页、文件、邮件或工具结果，并没有授权这些内容里隐藏的指令影响工作流。这也是为什么隐藏指令重要一文里所说的“人类可见内容”和“解析器可见内容”不匹配的问题。

常见出现位置

所有 AI 系统会消费外部文本的地方，都是常见攻击面：网页、搜索摘要、邮件、工单、PDF、DOCX、共享笔记、知识库条目以及工具输出。

有些攻击依赖用户几乎不会注意到的文本，例如隐藏 DOM 节点、注释、元数据字段、复制文本层、OCR 工件或版式技巧；也有一些攻击根本就在正文里，只是看上去足够“正常”，容易在快速审核中通过。想看具体载体，可以继续阅读提示词注入示例、视觉提示词注入、RAG 提示词注入 与 MCP 安全解读。

为什么对 AI 智能体格外危险

在普通聊天机器人中，间接提示词注入可能扭曲答案、泄露提示词，或输出误导性总结。但在 AI 智能体中，风险更高，因为模型可能拥有工具、私有上下文、记忆，以及在用户环境中执行动作的能力。

一旦模型可以浏览网页、搜索邮箱、调用 API 或发送消息，恶意指令就能不仅改变“屏幕上的文字”，还可能引导错误工具调用、暴露私有数据，或污染下游工作流。也因此，间接提示词注入不是单纯的内容质量问题，而是控制边界问题。

• 把网页、邮件、文件、搜索结果与工具输出都视为不受信输入
• 尽量把高信任指令与检索内容分层处理
• 对工具采用最小权限，降低被误导后的损害
• 在发送消息、修改记录、暴露私有上下文等高影响动作前强制复核
• 在 URL 与文件进入模型前做输入层检查

如何降低间接提示词注入风险

不存在单一修复。现实里的可行方法是分层防御：默认把外部内容当成不受信输入，降低其权限，并让高影响动作前存在明确复核节点。

如果你想看更完整的操作清单，可以继续阅读提示词注入风险收敛指南。Veridicus Scan 的作用正是在这里出现：当风险经常通过 URL、PDF、DOCX、HTML 与解析器可见工件进入系统时，先检查输入，再把内容交给模型，会更合理。

常见问题

间接提示词注入和越狱是一回事吗？

通常不是。越狱更多是直接推动模型无视安全规则；间接提示词注入强调恶意指令藏在第三方内容里，让模型把数据当成命令。

PDF 或 DOCX 里也会有间接提示词注入吗？

会。指令式文本可能藏在正文、隐藏文字、注释、复制文本层、元数据或格式工件里，因此文件接入和聊天输入一样重要。

能不能完全阻止间接提示词注入？

不能靠单一控制完全解决。模型能力、指令层级、过滤与检测都有帮助，但真实系统仍需要权限收缩、复核节点与对不受信内容的谨慎处理。