Prompt-Only 攻擊:當攻擊不再靠惡意程式,而是靠「指令」
最近看到 CrowdStrike CEO George Kurtz 提到一個很值得警惕的概念:Prompt-Only 攻擊。
它的直覺很殘酷:攻擊者不一定要丟一個「寫死的惡意程式」進你電腦,他只要把一段惡意指令(prompt)植入到你環境裡,讓你本機的 AI 工具自己把攻擊補完。
## 什麼是 Prompt-Only 攻擊(用工程語言翻譯)
傳統惡意軟體常見的路線是:
- 交付 payload(惡意檔案/惡意腳本)
- 連回 C2(指揮控制)
- 下載模組、更新行為
- 用特徵碼或行為模型去偵測
Prompt-Only 的想像是另一條路:
- 攻擊者交付的是「文字指令」
- 指令會跟企業內部已部署的 LLM 擴展、瀏覽器 AI 代理互動
- AI 依照受害者的本機環境(檔名、Slack 紀錄、郵件內容等)即時生成腳本(例如 PowerShell)
於是每個受害者都可能得到一份「客製化」的攻擊腳本,特徵碼攔截很難靠既有樣本覆蓋。
如果這類攻擊成立,它等於把惡意程式的「變形能力」外包給你的 AI 工具。
## 為什麼它會讓資安團隊更難受
### 1)特徵碼失效是必然,不是偶然
一千個受害者,一千種腳本,signature-based 幾乎天然吃虧。
你不是在追一個樣本,你是在追一個生成器。
### 2)C2 不一定是必要條件
過去很多偵測依賴「它必須連出去」。
但如果 prompt 長期潛伏在內部(文件、聊天室、工單、知識庫、瀏覽器頁面、甚至是某個備註欄位),AI 在內部生成並執行動作,攻擊者的外部足跡反而變少。
### 3)它利用的是「合法工具」
企業很可能本來就允許:
- LLM 助理讀取文件
- AI 代理操作瀏覽器
- 自動化工具觸發腳本或 API
這些都不是漏洞,這是設計目的。
風險在於:你把「理解語言」與「執行動作」綁在一起,語言就變成一種新的攻擊面。
## 防線要怎麼調整:把 AI 當成高權限程式
我覺得這類討論最有價值的地方,是逼大家重新面對一個問題:
你部署的 AI 代理,到底擁有什麼權限?它的決策可觀測嗎?它的行為可被限制嗎?
一些更務實的防禦方向:
- 最小權限:AI 工具預設只讀;寫入、執行、發送需要明確授權。
- 分離環境:把 AI 代理與日常工作機、密碼管理器、開發金鑰隔離。
- 可觀測性:所有「由 AI 觸發的動作」都要有 audit log,最好能回放。
- 工具白名單:限制它能用哪些工具、連到哪些網域、呼叫哪些 API。
- 內容輸入治理:把 prompt injection 視為資料污染問題,對來源與權重做分級。
- 人機協作的閘門:高風險動作要求人類確認,至少在你還不夠有把握的階段。
## 結尾
Prompt-Only 攻擊這個詞聽起來像行銷,但它背後指向一個非常真實的趨勢:
攻擊不再只是「把惡意程式塞進來」,而是「把惡意意圖寫進你的工作流」,再利用你自己部署的 AI 去完成最後一哩路。
AI 代理越普及,這件事越不會是假設題。
#資安 #AI安全 #PromptInjection #ThreatModel #CrowdStrike #AIAgent
