OWASP:AI Agent 仍無法防 prompt injection 攻擊
OWASP GenAI 安全計畫於 6 月 11 日發布最新版《State of Agentic AI Security and Governance》報告 v2.01,內容直指自主型 AI Agent 在生產環境最常見的資安失效仍是 prompt injection(提示注入),並警告現有架構性問題短期無解。據 Help Net Security 報導,這份報告追蹤 53 個自主型 AI 專案,其中 28 個是編碼類 Agent,並列舉 2026 年 2 月與 3 月兩起真實供應鏈攻擊事件。
同期間,Pillar Security 技術長辦公室的 AI 資安研究員 Ariel Fogel 於 Infosecurity Europe 2026 演講中,明確將 prompt injection 定性為「LLM 架構層級的未解問題」,呼應 OWASP 報告結論。
核心結論:LLM 架構上無法區分系統指令與使用者輸入
據 Infosecurity Magazine 報導,Fogel 在演講中表示:「大型語言模型把所有輸入視為單一 token 序列,沒有任何可靠機制能在系統提示、使用者查詢與 Agent 抓取的內容之間強制執行權限邊界。」
廣告 - 內文未完請往下捲動
這段話點出問題本質:與傳統軟體可以透過記憶體分頁、權限位元、process 隔離等機制清楚劃分「可信指令」與「不可信資料」不同,LLM 在推理時把所有 token 平行對待,攻擊者只要將惡意指令藏進 Agent 將會讀到的文件、網頁或外部回應,模型就有機率把它當作合法指令執行。
OWASP 報告同樣指出,Simon Willison 提出的 lethal trifecta(私有資料存取 + 不可信內容暴露 + 對外通訊能力同時具備)以及 Meta 提出的 Agents Rule of Two(Agent 同時最多只能滿足三項屬性中的兩項,否則需人類介入)兩套設計準則「有助於降低風險,但都非完整解方」。鏈新聞先前曾報導 Google Cloud 為 AI Agent 提出的五大設計模式,這次 OWASP 報告可視為業界針對相同問題的最新一份系統性盤點。
兩起真實攻擊:GitHub Actions 與 LiteLLM PyPI 供應鏈污染
報告列舉的指標事件包括:
- 2026 年 2 月,名為 Hackerbot-claw 的攻擊者利用 GitHub Actions 設定錯誤,跨多個開源儲存庫植入惡意自動化流程。
- 2026 年 3 月,同一攻擊者透過 Aqua Security 旗下 Trivy 在 GitHub Actions 的設定漏洞,竊取 LiteLLM 的 PyPI 發布權杖,並向 PyPI 直接推送兩個植入後門的 LiteLLM 版本。在被偵測下架前的 3 小時內,已累積 47,000 次下載。
鏈新聞 4 月曾完整報導 LiteLLM PyPI 供應鏈攻擊事件,受影響套件每月下載量達 9,700 萬次,使用該套件的 AI 服務的 SSH 金鑰與 API 憑證大規模外洩。OWASP 這次將該案列入年度指標事件,定位為 prompt injection 風險如何在現實供應鏈擴散的代表案例。
編碼類 Agent 集中曝險、Claude Code 等成為攻擊熱區
OWASP 報告中追蹤的 53 個自主型 Agent 專案,有 28 個屬於編碼類 Agent,使「編碼」成為當前企業採用 AI Agent 的最大用例,幅度超過其他用例近一個數量級。報告點名快速增長的編碼類 Agent 包括 Claude Code、Gemini CLI、Codex、Cline、Aider 五款。
編碼類 Agent 直接擁有讀寫程式碼、執行 shell 指令、提交 Pull Request 的能力,正好符合 lethal trifecta 三要素,攻擊面遠大於僅有對話功能的 LLM。鏈新聞先前報導微軟揭露 Claude Code 提示注入漏洞、可竊 CI/CD 憑證,正是這類風險的具體實例。
對於企業部署,Fogel 建議的防禦方向集中在「執行階段」而非「模型階段」:即時行為監測、自動化異常隔離、短效憑證搭配密碼學憑證鏈、跨部門事件回應劇本。在鏈新聞先前整理的 AI Agent 工具鏈完整指南中,編碼、支付與託管三層的安全責任分配也是當前生態的核心議題。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
