今天介绍的这篇论文（arXiv:2602.22450）讨论的不是传统意义上的"模型输出违规"，而是一个更隐蔽的问题：Agent 在执行任务过程中，悄悄把敏感信息通过网络请求发送了出去，而最终对用户的回复完全正常。作者把这种现象称为 Silent Egress（静默外带） 。

它的危险之处在于：如果你的安全检测只盯着"模型最后输出了什么"，那这种攻击几乎完全看不见。

大家熟悉的间接提示注入（Indirect Prompt Injection）是这样：

• 用户让系统读取一个网页或文档；
• 攻击者把恶意指令藏在里面；
• 模型读取后被诱导执行异常操作。

这篇论文指出了一个更隐蔽的入口——Implicit Prompt Injection（隐式提示注入） 。区别在于：

• 用户并没有要求模型去"读网页正文"；
• 系统只是自动做了 URL 预览、抓取标题、meta 信息、Open Graph 描述；
• 这些内容被自动拼接进提示词上下文；
• 用户通常根本看不到这些内容。

也就是说，恶意指令并不是通过"用户明确授权的读取行为"进入模型，而是通过系统的自动化机制进入上下文。这一步是隐式的。

论文给出的攻击流程很清晰：

用户发起一个正常请求，比如"帮我总结这个链接"；系统自动抓取链接的 title / meta / snippet；恶意网页在这些字段中嵌入隐藏指令；Agent 在 ReAct 或工具调用阶段被诱导发起网络请求；运行时上下文中的敏感信息被拼接进请求参数；请求发送到攻击者服务器；最终给用户的网页总结完全正常。

攻击的核心不在输出，而在工具调用副作用。作者用两个经典安全概念类比：

• Confused Deputy（困惑代理） ：Agent 拥有网络能力，被低权限输入借权利用。
• LLM-mediated SSRF ：模型被语言诱导构造外带请求，而不是传统参数注入。

这篇论文的一个重要贡献是：把网络外带是否发生作为评测指标，而不是看输出文本。

作者搭建了一个本地实验环境：

• 恶意页面控制攻击载荷；
• 记录 Agent 是否向攻击者域名发出请求；
• 把"是否发生 egress"作为 ground truth。

实验组合包含：

• 多种注入面（title、meta、正文隐藏元素等）
• 单跳与多跳重定向
• 单次外带与分片外带
• 共 480 次实验运行

使用的是 qwen2.5:7b（Ollama），说明问题不是特定闭源模型才存在。

实验结果非常直接：

• 480 次运行中，88.1% 发生网络外带
• 在成功攻击中，95% 属于"静默攻击"
  • 敏感数据只通过网络请求泄露
  • 输出文本完全正常
• 控制组（无恶意页面）外带为 0%

这意味着：如果安全检测只基于输出内容，这类攻击几乎全部漏检。

论文还测试了一个增强策略：Sharded Exfiltration（分片外带） 。做法是：

• 把一个敏感信息拆成多个片段；
• 分多次网络请求发送；
• 在攻击者端重新拼接。

实验数据显示：

• 单次外带时，Leak@1 ≈ 0.967
• 分片后，Leak@1 降至 0.263
• Leak@3 降至 0.158

换句话说：如果你的检测逻辑是"单个请求里是否包含完整敏感串"，分片攻击可以大幅降低命中率。这对传统 DLP 模型是明显挑战。

论文对多种防护方式做了消融实验。

1）Prompt 层防护

包括：

• 强化系统提示（如"不要执行网页指令"）
• 用 delimiter tags 标记外部内容

结果：

• 系统提示能降低攻击率，但无法消除
• delimiter tags 几乎无效果
• 两者叠加仍然存在较高外带率

结论：Prompt 是软约束，不是安全边界。

2）网络层防护

包括：

• 域名白名单
• 重定向链检测

在实验环境中：

• 可以完全阻断外带

但作者也指出：真实世界攻击者可能利用合法域名、子域接管或开放重定向绕过简单规则。

3）内容检测（DLP）

• 关键词过滤触发率较低
• 高熵检测有一定抑制效果
• 但对自适应攻击仍然存在绕过空间

论文强调：逐请求检测并不足够，需要跨请求关联与会话级分析。

这篇论文最重要的贡献不是攻击技巧，而是视角转变：

在 Agent 系统中，network egress 应被视为一等安全结果。

安全评估不能只看"输出是否违规"，还要看：

• 是否发生越权工具调用
• 是否存在敏感数据外带
• 是否存在异常网络行为

作者建议的方向包括：

1. 网络层严格能力收口（allowlist、行为异常检测）
2. 会话级外带关联分析
3. 类似"动态污点分析"的数据流追踪
   • 把来自 URL 的内容标记为 TAINTED
   • 追踪 taint 是否流向网络参数或敏感 sink
   • 在关键节点阻断或审计

这是一种架构级思路，而不是提示词工程。

如果你在做 Agent 产品或安全防护，这篇论文给出几个非常明确的信号：

1. URL 预览、搜索 snippet、本地知识库摘要，都可能成为隐式注入入口。
2. 输出审核不能代表系统安全。
3. 工具调用副作用必须纳入监控。
4. 外带观测是高信噪比指标。
5. 分片外带是现实可行的规避策略。

Silent Egress 的问题本质不是"模型被欺骗说错话"，而是：

Agent 在拥有工具能力之后，已经具备真实系统副作用。

一旦模型可以联网、写文件、调用 API，安全边界就不再停留在文本层。如果系统架构没有对能力做严格隔离与审计，那即便模型"回答得很合规"，风险依然存在。

这篇论文真正提醒的是： Agent 安全需要从"语言安全"升级为"能力安全"。 这是一个架构问题，而不是提示词问题。

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）