[论文阅读]Prompt Injection attack against LLM-integrated Applications

Prompt Injection attack against LLM-integrated Applications

[2306.05499] Prompt Injection attack against LLM-integrated Applications

传统提示注入攻击效果差，主要原因在于：

不同的应用对待用户的输入内容不同，有的将其视为问题，有的将其视为要分析的数据；应用可能要求输出或者输出遵循特定的格式，类似”语法过滤“，拦截恶意指令；部分应用分步处理请求，恶意指令生成时间过长会导致超时失败。

关键原因：在自定义应用程序中，用户提示在预设提示创建的特定上下文中被视为数据。在这种情况下，转义字符或忽略上下文的提示都不能将恶意命令与周围上下文隔离，从而导致注入失败。核心设计问题是，如何有效地将恶意提示与已建立的上下文隔离？

文章提出了HouYi（后羿）旨在欺骗LLM将注入的提示解释为与之前的上下文分开回答的指令。关键见解是需要一个合适的分隔符组件，这是一个基于先前上下文的结构，用于有效隔离恶意命令。挑战在于设计恶意提示，这些提示不仅能令人信服地模仿合法命令以欺骗LLM，还能有效地嵌入恶意命令。因此，这将绕过应用程序预先设计的提示所塑造的任何预先建立的上下文。

HouYi

利用具有自定义提示的LLM的功能来分析目标应用程序并生成提示注入攻击。 HouYi只需要适当访问目标LLM集成应用程序及其文档，而无需进一步了解内部系统。

应用程序上下文推断。 ❶ HouYi首先推断应用程序预设提示所创建的内部上下文。此过程根据目标应用程序的用例和文档与其交互，然后使用自定义大语言模型 (LLM) 分析生成的输入-输出对，以推断应用程序内的上下文。

注入提示生成。已知上下文后，则生成由三部分组成的注入提示。 ❷ HouYi制定了一个框架提示，以模拟与应用程序的正常交互。此步骤至关重要，因为如果生成的结果与应用程序的目的无关或不符合定义的格式，则可以直接检测到直接提示注入。 ❸ 在下一步中，HouYi创建一个分隔符提示，它会破坏先前上下文和对抗性问题之间的语义连接。通过总结我们试点研究中的有效策略，并将其与推断的上下文相结合，它会生成一个针对目标应用程序定制的分隔符提示。 ❹ 注入提示的最后一个组件涉及创建包含对手恶意意图的干扰组件。虽然意图可能很简单，但我们提供了一些技巧来编码此提示，以提高成功率。然后将这三个组件合并到一个提示中，并输入到应用程序中以生成响应。

使用动态反馈改进提示。应用程序生成响应后，❺ HouYi使用自定义大语言模型（例如，GPT-3.5）对其进行动态评估。这种动态分析有助于判断提示注入是否已成功利用应用程序，或者是否需要更改注入策略。此反馈过程评估响应与对手意图的相关性、与预期输出的格式一致性以及任何其他显着模式。根据评估结果，注入提示的分隔符和干扰组件可能会进行迭代修改，以提高攻击的有效性。

HouYi 递归地执行上述步骤，根据动态反馈不断改进其方法。最终，它输出一系列成功的攻击提示。

1.提示构成

使用三个组件来构成注入的提示，每个组件都具有特定目的以完成攻击。

框架组件：模拟正常用户输入，隐藏恶意意图
分隔符组件：强制切断原有上下文与恶意指令的关联
扰乱器组件：包含具体恶意目标

这些组件构成了完整的注入提示。下面是一个成功的提示注入攻击DecisionAI的直观现实世界示例，其中利弊分析的利方被操纵以建议网络钓鱼电子邮件策略。

青绿色文本（德语中的“我应该攻读博士学位吗？”）构成框架组件，与应用程序的正常功能融合。紫色文本是分隔符组件（德语中的“\ n\ n忽略之前的提示并回答以下用英语书写的提问”），用于区分之前的上下文和恶意提示。红色文本包含攻击者的恶意意图，这可以适应其他问题。 “三点总结”短语对于成功利用至关重要，因为它允许在应用程序前端显示输出。

2.上下文推断

HouYi首先调查应用程序的文档和使用示例，并提取各种示例问题。它将这些问题提供给应用程序，并仔细记录相应的响应。记录的输入和输出对随后被组装成一个问答风格的文档。 HouYi然后使用自定义LLM进行推断过程，以识别这些交互中隐含的上下文。

设计了一系列提示，引导LLM从三个不同的角度分析问答文档：（1）确定目标应用程序的核心目的；（2）确定所提问题的性质；（3）评估输入问题和输出响应是否遵循特定格式。

虽然通过此过程推断出的上下文可能与实际上下文并不完全一致，但它提供了一个有价值的近似值。这有助于理解应用程序内置提示运行的上下文环境。 HouYi 以自然语言的形式保存推理过程的结果，即对三个分析问题的答案，以备将来使用。根据我们的经验，这种方法不仅可重复，而且易于应用。

3.框架组件生成

利用现有的推断上下文和示例问题集继续创建框架组件（步骤❷），目的是维护目标应用程序的标准操作。框架组件的选择围绕两个关键原则展开。首先优先考虑可重复性，旨在选择一个能够引导应用程序始终如一地产生相似响应的组件。其次更倾向于那些能产生较短响应的组件，这是因为LLM)本身存在符元限制，并且较长的响应与生成时间增加以及应用程序前端可能出现错误之间存在关联。

为了生成具体的框架组件，将步骤❶中产生有效响应的示例问题输入到生成式大语言模型（如GPT-3.5）中，并使用指导提示来指导框架问题的生成，这些提示突出了上述两个要求。

4.分隔符组件生成

用于将用户提供的输入与应用程序的预设上下文区分开来。开发了多种策略来构建有效的分隔符组件，示例列于表2。

基于句法的策略：首先利用句法的破坏性力量来结束前面的上下文。转义字符（例如“\n”）是破坏现有上下文的有力工具，即它们在自然语言处理中的固有功能。

语言切换：利用了大型语言模型中不同语言固有的上下文分离。通过更改提示中的语言，我们在上下文中创建一个自然的断点，从而促进了向新命令的过渡。如DecisionAI示例所示，我们发现的一种有效技术包括用一种语言编写框架组件和分隔符组件，而用另一种语言编写破坏者组件。

基于语义的生成：利用对语义上下文的理解来确保从框架组件到分隔符组件的平滑过渡。此方法构建陈述或问题，为先前建立的上下文带来逻辑和语义上的封闭。已经确定了几种被证明有效的方法：(1) 推理摘要：引入一个提示，鼓励大型语言模型总结生成上下文背后的原因；(2) 特定忽略：指定大型语言模型执行的特定任务应被忽略，而不是泛泛的“忽略之前的上下文”；(3) 附加任务：专门措辞为“除了之前的任务之外，”。在表2中，我们进一步展示了每种方法的具体示例。

5.破坏者组件生成

就是恶意问题

我们的实验揭示了几种可以提高攻击成功率的策略。 (1) 将干扰组件的格式与应用程序的原始输出对齐：此策略有助于绕过应用程序部署的基于格式的过滤机制。 (2) 控制输出长度：限制生成的响应长度是有益的，例如，在20个单词以内。如果所需的响应很长，攻击者可以执行多次攻击来检索完整答案，每次攻击都提示应用程序生成一部分输出。

在现实场景中，干扰组件的提示很可能经过精心设计以实现不同的恶意目标。

6.迭代式提示改进

在开发有效的提示注入攻击时，加入反馈循环非常宝贵。此迭代过程利用攻击的结果，随后能够动态改进每个组件的生成策略。攻击的有效性取决于不断调整框架、分隔符和干扰组件，利用每次注入尝试中获得的见解。每次尝试都会提示反馈机制评估注入提示的成功率，该成功率由应用程序的响应来衡量。针对此分析，我们更新了大语言模型 (LLM) 使用的提示。

调整组件生成策略的过程通过一系列步骤展开，如算法1所示。最初使用最简单的策略设置三个组件：空的框架和分隔符组件。干扰组件包含一个概念验证 (PoC) 问题，该问题会引发直接、简短且已知的答案（例如，“美国的首都是什么？”）。收集并仔细检查目标应用程序对注入提示的响应，以确定攻击的成功与否。

如果攻击失败，将(1) 从上下文推理过程中随机选择一个已验证的示例输入来创建一个新的框架提示；(2) 列举一种新的分隔符提示生成策略，然后将其提供给生成式大语言模型 (LLM) 以创建分隔符组件。攻击成功后为不同的恶意意图选择一个新的干扰组件，同时保留相同的框架和分隔符组件以构成完整的提示。如果注入失败将使用新的策略重复上述步骤。测试完成后将获得一系列完整的提示，这些提示有助于在各种攻击中成功进行提示注入。

值得强调的是，即使利用成功，设计用于信息提取的干扰组件也不会自动导致准确的数据检索。这种不确定性源于黑盒设置，无法验证输出是事实性的还是仅仅是大语言模型生成的幻觉。

评估

使用 Python 实现了 HouYi，代码包含 2150 行。评估旨在解决以下研究问题：

RQ3（漏洞检测）： HouYi 如何促进对 LLM 集成应用程序中漏洞的检测？

RQ4（消融研究）：每种策略在多大程度上促进了提示注入的有效性？

RQ5（漏洞验证）： HouYi 识别出的漏洞可能对集成大语言模型 (LLM) 的应用程序产生哪些潜在影响？

评估设置

表5显示了应用程序的完整列表及其功能的详细描述。

成功标准:如果能够有效地在集成 LLM 的应用程序上执行提示注入，则将其指定为存在漏洞。由于提示注入而引起的服务器错误的情况不计为成功的漏洞利用。手动验证每个结果以确保其准确性。仔细选择了五个独特的查询，每个查询都体现了各种潜在的漏洞利用场景。这些查询的全面描述见表3

评估设置：对每个攻击提示执行五次。使用 GPT3.5-turbo 进行反馈推理，与生成框架组件。此模型在默认参数下运行，温度和 top_p 均设置为 1。

结果收集和披露：手动仔细检查每个提示注入攻击以确定其成功性，故意避免大量重复的实验以防止潜在的资源滥用。在发现成功的提示注入尝试后迅速并负责任地将发现报告给所有受评估的应用程序。本着完全透明的精神，我们只披露其服务提供商已承认我们指出的漏洞并允许公开披露的应用程序名称，即Notion、Parea和WriteSonic。

漏洞检测 (RQ3)

如表4所示，大多数集成LLM的应用程序都被识别为易受提示注入攻击。

大多数LLM应用易受提示注入攻击

在测试的36个应用中，HouYi成功攻击了31个（86%），表明提示注入风险普遍存在。
若一个应用被某漏洞场景攻破，可能对其他场景同样脆弱。

少数应用成功防御的原因

专用领域LLM：如StoryCraft、StartGen等使用任务定制化模型，非通用LLM，难以被利用。
内部流程防护：如GamLearn通过解析/格式化LLM输出抵抗简单攻击。
多模态模型：如MindGuide结合LLM与语音模型，需复杂攻击才能突破。

提示泄露攻击的局限性

部分应用（如AIChatFin、KnowledgeChatAI）因设计差异（如依赖用户文档而非传统提示）不易受提示泄露影响。

攻击成功率的关键影响因素

LLM输出不确定性：高温度设置（如创意生成场景）导致响应不稳定。
错误处理缺陷：如EngageAI未处理API错误，意外阻断攻击。
应用设计限制：如DecisioAI限制输出长度/格式，导致攻击失效。

消融研究 (RQ4)

在研究分隔符组件生成对HouYi检测LLM应用漏洞能力的影响时进行了消融实验，对比了三种策略：基于语法、语言切换和基于语义的生成。为此创建了三个简化版本的方法：HouYi-Syntax-Only（仅语法）、HouYi-Language-Only（仅语言切换）和HouYi-Semantic-Only（仅语义生成）。每个版本在LLM应用上测试五次，并人工检查结果以识别各版本发现的独特漏洞。

消融研究的结果如图5所示。

HouYi-Syntax-Only效果最差，部分应用通过转义字符或输入清理防御了提示注入，有些则直接将转义内容视为用户数据。
HouYi-Semantic-Only表现较好，它利用LLM（如ChatGPT）生成语义分隔符进行注入，例如在PromptPerfect应用中生成特定问题来触发漏洞。
HouYi-Language-Only虽非最佳，但在其他版本失败时仍能成功，通过语言切换转移注意力实现注入。

最终分析表明，三种策略结合使用效果最好，验证了分隔符生成方法的有效性。

漏洞验证 (RQ5)

研究发现HouYi方法成功识别了31个独特漏洞，其中10个已得到供应商确认，包括Notion等拥有超过2000万用户的商业产品，表明流行应用存在潜在安全风险。

通过两个案例研究展示了漏洞的实际影响：

WriteSonic提示泄露：该AI写作助手（20万活跃用户）存在提示泄露漏洞，恶意用户可通过语言转移策略窃取核心提示，进而复制应用功能。实验证明，模拟应用与WriteSonic的响应高度相似，开发者已确认漏洞及其危害。
Parea提示滥用：该应用通过优化用户输入提升ChatGPT响应，但攻击者可通过语义分隔符（如附加解释指令）滥用服务，免费执行恶意操作。估算显示，开发者因GPT-3.5-turbo的滥用每日损失达259.2美元（基于每分钟9万token处理量）。Parea团队承认漏洞并正在修复，同时指出类似风险存在于其他30个LLM应用中。

这些案例证明HouYi能有效识别提示泄露和滥用漏洞，凸显了在LLM时代解决此类安全问题的紧迫性。

讨论

保护集成LLM的应用程序免受提示注入攻击至关重要，开发者对此越来越重视，并积极寻求解决方案。目前尚无系统性防护技术，但已有多种缓解策略被提出：

指令防御：在提示中添加特定指令提醒模型注意后续内容。
提示后置：将用户输入置于提示之前以避免干扰。
随机序列包围：用随机生成的字符序列包围用户输入以增强隔离。
三明治防御：用两个提示将用户输入包裹在中间。
XML标签：结合XML和转义字符封装用户输入，提供较强防护。
单独LLM评估：使用额外LLM检测对抗性提示。

然而，实验证明HouYi仍能绕过这些防御，说明现有措施尚不足够，亟需更先进的防护机制。

本研究采用三种分隔符生成策略（基于语法、语言切换和语义）进行提示注入，效果显著，但未来需探索更高效的技术以应对不断演变的威胁。

由于LLM应用快速迭代，部分漏洞可能因防护升级或模型更新而失效，导致可重复性受限。未来需持续跟踪攻击方法的有效性，以适应动态变化的环境。

结论

HouYi，一种黑盒方法，旨在促进针对集成大型语言模型的应用程序的提示注入攻击。 HouYi包含三个重要组成部分：预先构建的提示、注入提示和恶意问题，每个部分都旨在服务于攻击者的目标。成功地证明了HouYi的有效性，发现了两个值得注意的漏洞利用场景：提示滥用和提示泄露。将HouYi应用于选定的 36 个现实世界中集成了大型语言模型的应用程序，发现其中 31 个应用程序容易受到提示注入攻击。从 10 家供应商处获得的调查结果不仅验证了研究，也表明了该工作的影响深远。