随着 AI 代理越来越能浏览网络、检索信息并替用户执行操作，它们的这些能力虽有用，却也给攻击者提供了新的操纵手段。 此类攻击常被称为 prompt injection ：即在外部内容中嵌入指令，试图让模型去做用户未曾要求的事。我们的观察是，现实世界中最有效的这类攻击越来越像社会工程，而不再是简单地覆盖提示词。 这个变化很重要。如果问题不仅是识别一个恶意字符串，而是要在语境中抵抗误导或操控内容，那么仅靠过滤输入无法防御。还需要在系统设计上限制被操纵的后果，哪怕部分攻击得手也不能造成重大损害。 早期的 prompt…