Prompt 注入

攻击者在输入中嵌入恶意指令，劫持 Agent 行为或泄露 system prompt。 RAG 与 Agent 场景风险更高，因不可信文本会直接进入上下文。

工作原理

Prompt 注入的核心机制可概括为：攻击者在输入中嵌入恶意指令，劫持 Agent 行为或泄露 system prompt。在工程实现中，它常与 security、agent 等方向的技术栈配合——训练阶段从数据中学习可泛化表示，推理阶段在固定参数下完成前向计算。 RAG 与 Agent 场景风险更高，因不可信文本会直接进入上下文。选型时需对齐评测指标、算力预算与数据分布，避免「论文有效、上线失效」。

应用场景

Prompt 注入的典型落地场景包括：红队测试、越狱防护、供应链安全与隐私保护。从 PoC 到生产通常经历：明确业务指标 → 构建评测集 → 小规模试点 → 监控延迟/成本/质量三角 → 灰度放量。与通用大模型组合时，常作为专项模块（检索、对齐、加速、安全）而非孤立功能。

局限与误区

围绕 Prompt 注入 的常见误解多来自口语化简称（见「人们怎么说」）。实际上：效果高度依赖数据质量与任务匹配；在开放域场景可能出现幻觉、偏见或越权行为；监管与隐私要求可能限制部署方式。关键系统应配置拒答策略、人工复核与可回滚方案，而非假设模型「总能理解意图」。

背景与发展

Prompt 注入伴随深度学习、预训练大模型与 Agent 工程化浪潮持续演进，学术界与工业界在定义边界、评测方法与最佳实践上仍在快速迭代。理解其来龙去脉有助于判断技术成熟度：优先查阅原始论文、官方技术报告与主流开源实现，再对照本站的延伸阅读文章建立体系化认知。