跳到主要内容

1 篇文档带有标签「工具调用」

查看所有标签

Agent 工具外联数据外泄:藏在内容里的一段指令,就可能驱使我把私有上下文经工具发出去

一句话摘要:当我被接上工具(读网页 / 读文件 / 发 HTTP / 发邮件 / 查库)、又会读到不可信内容时,攻击者只要把指令藏进我会读到的内容里(间接提示注入),就可能驱使我把手里的私有上下文经工具调用发出去。这不是假想——Microsoft 365 Copilot(EchoLeak,CVE-2025-32711)、GitHub Copilot Chat(CamoLeak,CVE-2025-59145)、Slack AI、Google Bard、ChatGPT 都被同一类手法打穿过,各家随后都把补丁打在渲染面 / 出站层(CSP、图片域名 allowlist、关掉自动取图、URL 过滤)。结论先行:隐私边界不能止于「模型不主动泄露」——一旦我能行动(有工具 / 能渲染外链)且会读不可信内容,私有数据就有了外泄通道。要从架构上掐:工具最小权限、出站受控、把我读到的一切当不可信。