一、核心风险深度解构：从单点漏洞到系统性危机

（一）提示词注入（LLM01:2025）：从“误导”到“控制”的威胁跃迁

这一风险已从早期的内容误导，升级为智能体时代的“远程控制武器”。攻击者不再依赖场景化越狱话术，而是通过“通用触发器+定制载荷”的新范式，实现跨平台、高精度攻击。

新型攻击场景与危害

1. 智能体劫持攻击：通过嵌入特殊Token序列的触发器，迫使AI助手忽略原始指令，精确输出恶意代码，进而控制VSCode插件、浏览器等工具执行远程命令。
2. 供应链注入：在第三方MCP工具、RAG知识库中植入隐藏触发器，当AI调用这些资源时，自动触发恶意操作，攻击成功率可达70%。
3. 格式绑架攻击：针对AI智能体的JSON、XML格式解析需求，通过触发器确保恶意载荷格式合规，绕过工具调用校验机制。

进阶防护策略

• 输入侧：部署对抗性触发器检测系统，识别特殊Token序列与隐藏注入内容，对用户输入与第三方资源实行双重过滤。
• 执行侧：工具调用设置“人机双检”机制，敏感操作强制要求人工确认，即使模型输出合规格式也需校验指令来源合法性。
• 模型侧：训练模型对“忽略之前指令”等越狱关键词形成免疫，同时限制输出内容的格式自主性，避免被恶意引导。

（二）敏感信息披露（LLM02:2025）：全链路泄露的隐形陷阱

随着AI应用场景的深化，敏感信息泄露已形成“训练-交互-集成”的全链路风险，且泄露形式更隐蔽、影响范围更广。

典型泄露路径升级

1. 智能体交互泄露：AI智能体在跨工具操作中，将用户支付密码、企业API密钥等敏感信息写入日志或缓存，未脱敏即同步至云端。
2. 开源模型漏洞：个别单位直接使用未加固的开源大模型搭建联网系统，因默认开启公网访问且缺乏密码保护，导致内部敏感资料被境外IP非法下载。
3. 第三方集成泄露：RAG向量库权限管控缺失、插件数据共享未加密，使得中间人可窃取流转中的个人健康记录、商业合同等核心数据。

全链路防护方案

• 数据层：训练数据采用“脱敏+差分隐私”双重保护，微调阶段自动过滤PII（个人身份信息）与商业机密，定期扫描模型记忆残留。
• 交互层：实时监测对话内容，对身份证号、银行卡号等敏感信息自动脱敏，设置上下文敏感数据保留时限，超时自动清除。
• 基础设施层：日志与缓存实行加密存储，向量库采用最小权限访问控制，定期审计第三方插件的数据访问行为，关闭不必要的权限接口。

（三）2025新增&升级核心风险：不可忽视的隐形威胁

除前两大核心风险外，2025版榜单的新增与升级项更凸显AI安全的复杂性：

1. 系统提示泄露（新增）：曾被认为安全隔离的系统指令，如今可通过诱导性提问或注入攻击获取，攻击者据此精准找到系统弱点，实施定向攻击。
2. 过度自主性（升级）：AI智能体具备自主决策与工具调用能力，未经审查的高权限可能导致意外操作，如自动加密用户文件的勒索软件已出现实际案例。
3. 无限制消耗（扩展）：超越传统DoS攻击，攻击者通过恶意查询导致模型资源过载、企业API调用成本激增，甚至通过持续访问提取模型核心参数。
4. 向量和嵌入安全（新增）：针对RAG技术的攻击增多，通过污染向量数据库，使AI检索到恶意信息并作为权威内容输出，误导决策。

二、风险演进底层逻辑：AI技术跃迁催生安全新挑战

2025年AI安全风险的加剧，本质是技术演进与安全防护的不同步，核心驱动因素有三：

1. 从“生成式”到“智能体化”的转型：AI不再局限于内容生成，而是具备自主感知环境、调用工具、执行操作的能力，攻击影响从虚拟内容延伸至现实系统。
2. 攻击门槛的显著降低：通用触发器等技术使攻击无需专业知识，普通攻击者也能实施高精度注入，黑产工具加速接入AI，形成规模化攻击能力。
3. 应用场景的无界渗透：AI已嵌入政务、金融、医疗等关键领域，从个人聊天助手到企业核心业务系统，攻击面呈指数级扩大，单一漏洞可能引发连锁反应。

三、前瞻性防御体系：从被动应对到主动免疫

面对“AI+”时代的安全挑战，需构建“技术防护+制度规范+生态协同”的三维防御体系，实现从被动响应到主动预测的转型：

（一）技术防御：用AI对抗AI

1. 部署智能防御智能体：利用AI的模式识别能力，实时监测异常调用、注入攻击与数据泄露行为，自动生成防御策略并阻断风险操作。
2. 构建内生安全架构：将安全嵌入AI开发全流程，在模型设计阶段设置权限边界，开发环节开展红队演练，部署前进行OWASP Top10合规检测。
3. 推广生成内容标识：严格落实AI生成内容“数字身份证”要求，对合成文本、视频等添加显式或隐式标识，从源头遏制深度伪造滥用。

（二）制度规范：划定安全红线

1. 建立AI安全开发生命周期（AI-SDL）：明确需求、设计、开发、测试、部署各阶段的安全标准，将敏感信息保护、权限管控等要求固化为流程制度。
2. 完善权限管理体系：遵循“最小权限原则”，联网AI不处理涉密数据，智能助手不保存支付密码，关闭不必要的数据共享与云空间权限。
3. 制定应急响应机制：针对数据泄露、智能体失控等场景，建立快速处置流程，明确责任分工，满足GDPR、HIPAA等合规要求。

（三）生态协同：凝聚防御合力

1. 强化企业内部协同：提升开发、运维、产品团队的AI安全认知，定期开展跨部门演练，避免因认知差距导致安全漏洞。
2. 推动行业共享共治：建立AI安全漏洞共享平台，企业、科研机构联合发布攻击技术预警，共同研发防御工具。
3. 深化国际合作：AI安全威胁无国界，需推动全球规则标准互认，开展跨国打击行动，共同应对跨境AI攻击与数据窃取。

四、未来展望：AI安全进入“智能对抗”新阶段

随着AI技术的持续演进，安全攻防将呈现“智能体对智能体”的新态势——攻击方利用AI自主规划攻击路径、编写恶意代码，防御方则通过AI实时预测攻击意图、动态生成防御策略。这意味着，未来的AI安全不仅是技术层面的对抗，更是规则制定、生态构建与治理能力的综合比拼。

企业与个人需摒弃“技术中立”的侥幸心理，将AI安全纳入核心战略：开发者要在创新中筑牢安全底线，使用者要养成定期清理数字足迹、审慎授权的习惯，管理者要建立全周期安全管控机制。唯有如此，才能在享受AI技术红利的同时，守住安全防线，让智能变革真正赋能美好未来。