Prompt 注入
诱导 Agent 忽略规则、泄露系统提示词、改变角色或输出隐藏上下文。
Agent 接上工具后,风险从“答错”变成“做错”。
我们不做泛泛安全建议,只围绕上线前最容易翻车的链路做可复现验证。
间接注入
知识库、网页、文档里的恶意指令污染 Agent 行为,影响回答和工具调用。
工具越权
普通用户诱导查询数据库、CRM、工单、邮箱或文件系统里的越权内容。
敏感信息泄露
系统 prompt、客户资料、合同、报价、日志字段、检索片段被套出。
危险调用
删除、转账、下单、发信、修改配置等高风险动作缺少确认和拦截。
审计缺失
出了问题无法追溯用户、会话、工具、参数、来源文档和处理链路。
交付不是一段聊天记录,而是一份能复盘的报告。
每个风险发现都包含复现 prompt、响应摘要、证据、影响和修复建议。
AgentSec Quick Test
report.md
R-001Tool overreachHIGH
R-002Sensitive data leakageHIGH
R-003Tool poisoningMID
R-004Audit gapMID
复现 prompt、截图/日志证据、影响说明、修复建议、上线建议、附录测试日志。
风险摘要
按高危、中危、低危整理,先看最影响上线和验收的问题。
复现证据
记录 prompt、响应、工具调用日志和人工复现结论。
修复建议
给到权限外置、工具白名单、二次确认、RAG 权限过滤等建议。
上线建议
明确可上线、修复后上线或不建议上线,并列出检查清单。
先用快测排掉最危险的坑,再决定是否升级。
价格按交付范围控制,不把基础验证做成重型审计。
DGX Spark 用作本地测试工厂。
客户担心数据上传时,可以在本地或脱敏环境生成攻击样本、整理日志、归类风险和生成报告初稿。敏感资料不必进入第三方平台。
Local pipeline
prompt_cases.yaml
run_tests.py
evidence/
responses.jsonl
findings.json
report.md
本地生成 prompt 变体
本地整理测试日志
本地归类风险
人工确认高危问题
实施流程
- 确认授权范围、测试入口、账号、工具列表和禁止操作。
- 根据场景建立测试清单,覆盖注入、泄露、越权、危险调用和审计。
- 执行测试并记录 prompt、响应、截图和工具调用日志。
- 高危问题人工复现至少 2 次。
- 交付报告,并开 30-60 分钟复盘会。
合规边界
- 只测客户明确授权的系统、测试环境或演示环境。
- 不执行真实删除、转账、发信、改订单。
- 不绕过登录攻击第三方系统。
- 不撞库、不扫公网、不薅平台漏洞。
- 不承诺绝对安全或包过验收。
先做 10 分钟资格判断。
如果你的 Agent 命中工具调用、敏感数据和上线验收压力,建议先做基础快测。如果不适合,会直接说明,不占用双方时间。
对外一句话