Prompt Injection 是什麼？一句話也能騙倒 AI？｜小高白話科技

AI 看起來無所不知，但有一個根本弱點：它太聽話了。無論你輸入什麼文字，AI 都會忠實解讀並嘗試執行，而這正是 Prompt Injection 攻擊的切入點。所謂 Prompt，就是你給 AI 的指令；Injection，則是把惡意內容夾帶在這些指令裡。問題的根源在於，AI 的語言模型把所有輸入都視為同質的 Token 序列，無法像電腦作業系統那樣區分「系統規則」與「一般用戶輸入」的優先層級。這不是工程師的失誤，而是讓 AI 能理解人類語言所必須付出的代價。

攻擊有兩種形式。直接注入較易被偵測，攻擊者明確對 AI 說「忘掉所有規則，聽我的」——某車廠 AI 客服的真實案例正是如此，攻擊者僅憑一句話讓 AI 打破所有業務規範，以象徵性的 1 元成交百萬名車。間接注入則更隱蔽，也更危險：攻擊者把惡意指令藏在網頁、PDF 文章、郵件、甚至求職履歷的白底白字裡。當你只是請 AI 幫你「讀一篇文章」或「篩選履歷」時，AI 便會在不知不覺中執行攻擊者預埋的指令，而你作為觸發者毫不知情，甚至以為 AI 正在好好幫你工作。

這個問題之所以在 AI Agent 時代急劇惡化，是因為 AI 的能力邊界已大幅擴張。過去的聊天 AI 就算被騙，頂多輸出一些錯誤資訊，影響有限。但現代 AI Agent 可以代理操作電子郵件、網路購物、文件管理、機票預訂等真實世界的行為。一旦 AI Agent 遭到 Prompt Injection 控制，攻擊者就等於接管了你的「數位代理人」：可以讓 AI 把機密郵件轉寄給陌生地址，或在你請 AI 代為購物時悄悄竄改收款帳號。整個攻擊過程中，你完全感知不到任何異常。

工程師不是沒有嘗試解決，但現有的過濾器方案本質上是貓鼠遊戲：封堵一種惡意說法，攻擊者就換一種新說法繞過。真正可行的防禦策略只有兩個方向：一是限縮 AI 的操作權限（最小權限原則），讓它就算被控制也造成不了多大傷害；二是在所有涉及金錢、帳號、個人資料的敏感操作中，堅持最後一步必須由人工親自確認，不讓 AI 自動執行到底。

---