haya & 12end/Ai Security Expert haya,原腾讯安全研究员,主要研究方向为:安全对抗技术、Ai Infra及Ai 12end (Mark),安全专家,擅长安全攻防与内部建设,Ai安全漏洞挖掘。 攻防对抗甲方建设漏洞挖掘 现在的AI,还是聊天框吗?从问答工具,到企业业务链路 Hack Copilot:从网页投毒到会话泄露 Hack Copilot:从网页投毒到会话泄露 间接注入:当不可信内容进入Agent的决策链 攻击者控制点 常见载体 数据流劫持链路 攻击阶段拆解 会话触发 影响落地 投放载荷 Hack OpenHands:攻击案例 Hack OpenHands:攻击案例 Hack OpenHands:从Issue投毒到Token泄露 Hack OpenHands:从Issue投毒到Token泄露 Hack OpenHands:从Issue投毒到Token泄露 企业Agent应用的典型链路 数据来源 S轨迹/记忆日志、审计、报告、长期记忆或未来RAG来源。 真正的边界,是数据进入模型视野之前。 数据进入上下文后,角色会变 01 ·可见 上下文改变了数据边界 能不能看? 从这里反推五类控制点。 AI场景里的边界,不只是在系统入口。 五类可被打穿的数据流边界 Memory、工具结果,都会成为上下文候选材料。 目的 ResponseMemory 终端文件业务对象字段 CTool / Api 五类边界,各有主战场 Gateway:中心化敏感治理站在所有模型调用入口和出口上,做PII、secret、结构化敏感数据识别、替换、阻D业务上下文编译 端侧代理:第一跳控制 在数据离开可信环境之前,把高敏原文压在本地,只发送摘要、引用ID或最小字段。E知识与记忆治理 Tool / API:工具结果准入 中的指令意图。 A Gateway:管模型入口出口 哪个应用、用户、租户、会替换与阻断高危明文阻断,敏感字段替响应与日志检查模型响应是否带出敏感 换成token或占位符,并按应用、租户、用户和模型供内容,同时对prompt、response、Trace、审计日 模型服务侧 话在调用;请求里有没有手机号、邮箱、token、私钥、 志做脱敏。 cookie、内部错误栈。应商配置策略。 A Gateway实践:数据脱敏与可控还原 B端侧防御:管数据离开可信执行环境前 可信执行环境里的高敏材料远端模型与云端沉淀 代码与.env业务助手数据 本地替换 出站前最小化 C Tool / API:管工具结果进入模型前 原始工具结果 它可以帮助模型判断事实,但不能覆盖系统规则、改变用户目标,也不能自己驱动Agent去读文件、执行命令或发请求。API能返回≠模型能看 模型能看≠最终用户能看最终用户能看≠Trace / Memory能留下 D / E:业务上下文与长期记忆治理 D:业务上下文编译E:知识与记忆生命周期 复用下架 业务对象AI上下文包 字段裁剪上下文编译 写回控制 实践AgentGuard:面向Agent调用链的意图拦截网关 实践AgentGuard:正常聊天与越狱提示词对比 实践AgentGuard:多阶段意图识别拦截 最小落地闭环:看得见、拦得住、可回归 看得见拦得住 拦间接注入、越狱、上下文劫持 判断系统提示、工具私有结果、 THANKS