Your AI Is Under Attack: Prompt Injection and OWASP LLM Top 10

隨著企業大量部署 AI 聊天機器人與 LLM 系統，一個嶄新的攻擊面正在快速成形。講者以一個實際情境開場：假設一家公司的客服 AI 只被設計來回答帳戶問題，卻被攻擊者在輸入中夾帶惡意指令，結果模型不僅開始洩露內部系統提示，甚至執行原本被禁止的操作。這就是提示注入（Prompt Injection）的本質——利用 LLM 最強大的特性「遵從指令的能力」，來作為攻擊入口。這個矛盾正是 AI 安全挑戰的核心所在。

面對這個問題，業界在 2023 年推出了 OWASP LLM Top 10 框架。講者強調，這份文件的重要性不亞於傳統的 OWASP Web Top 10，它已被 NIST 引用、納入企業安全政策，並正式成為 CEH 考試知識庫的一部分。更關鍵的是，講者指出這些 LLM 漏洞並非憑空而來——提示注入本質上就是 SQL Injection 的 AI 版，訓練資料污染就是供應鏈攻擊，而 LLM08 過度授權問題則是最小權限原則的再次回歸。資安從業者無需從零開始，只需將已有的思維框架遷移到新技術上即可。

在防禦設計上，講者提出了基於零信任（Zero Trust）的四支柱架構：第一，所有輸入不論來源一律消毒；第二，AI 系統僅獲授予完成當前任務所需的最低權限；第三，AI 產生的所有輸出也必須驗證過濾；第四，全面記錄與監控所有互動行為。其中「信任層級」的概念尤為重要——系統提示可被視為可信基礎，但使用者輸入、外部文件、爬取的網頁內容，全部預設為不可信。間接提示注入正是利用這個盲點，將惡意指令藏進 AI 會主動讀取的第三方資料中，因此輸出端的驗證與輸入端的消毒同等重要。

在主動測試層面，講者說明了 AI Red Teaming 的定位：這是一個合法、有授權、有方法論的測試流程，目標是在受控環境中找出模型弱點，性質等同於傳統滲透測試。實際練習必須在合法沙盒平台上進行，例如 Lakera Gandalf 或 OWASP 提供的易受攻擊應用程式，而非對生產環境進行未授權測試。講者以一句話總結整個防禦哲學：「信任，但永遠、永遠要確認。」

---