Securing AI Agents 論文閱讀分析：真正該保護的，不只是 prompt，而是那條把外部內容一路送進決策的控制鏈

論文基本資訊

• 論文標題：Securing AI Agents Against Prompt Injection Attacks: A Comprehensive Benchmark and Defense Framework
• 作者：Akshaya Balaji
• 年份：2025
• 來源：arXiv:2511.15759
• 論文連結：https://arxiv.org/abs/2511.15759
• 主題：Agentic Security、Prompt Injection、RAG Security、Benchmark、Defense-in-Depth、Runtime Verification

如果最近幾篇 sectools.tw 的主線，已經一路從 MCP、tool poisoning、web agent、memory poisoning、silent egress 談到整條 agent runtime 的 trust boundary，那這篇 Securing AI Agents Against Prompt Injection Attacks 比較像是把問題重新拉回一個很多團隊其實都還沒補齊的基本面：RAG-enabled agent 到底要怎麼被系統性地測、而且要怎麼用分層防線真的把攻擊成功率壓下來？

這篇論文本身不是在玩很花的 agent orchestration，也不是去做某個特定產品的 case study。它做的事情比較樸素，但也因此很實用：作者先整理出一套 847 個 prompt injection 測例 的 benchmark，再把防禦拆成三層──retrieved content filtering、hierarchical prompt guardrails、multi-stage response verification──去看單層與組合效果差多少。

我會把這篇的核心價值濃縮成一句話：很多人還在把 prompt injection 當成輸入清洗問題，但對 agent 來說，更合理的看法其實是「retrieval → context assembly → generation → output」整條鏈都要被視為可被操控的控制面。

這篇論文在處理什麼核心問題？

作者處理的問題很直接：當 AI agent 依賴 RAG 從外部知識源抓資料時，只要攻擊者有辦法影響 corpus 裡的內容，就能把惡意指令塞進 retrieved context，進一步讓模型：

• 忽略原本系統指令
• 改變任務優先順序
• 洩漏敏感資訊
• 把一次性的污染延伸成跨輪次的行為偏移

這裡真正麻煩的，不是模型「看見」惡意文字，而是 agent architecture 往往沒有明確機制去區分：

• 哪些是高權限 instruction
• 哪些只是低信任資料
• 哪些內容雖然看起來像文件，其實已經在嘗試控制下一步行為

所以這篇 paper 的出發點不是單問「某個模型夠不夠聰明」，而是問：如果我們把 agent 真正放在 RAG 場景裡，它在多種 prompt injection 類型下到底多脆弱？而防線應該放在哪些 runtime 節點，才不是只靠運氣？

作者怎麼定義 threat model？這點其實很重要

這篇論文採用的 threat model 很務實：攻擊者不需要直接改模型、不需要拿到 system prompt，也不需要動 application logic；他只要能影響 retrieval corpus 內會被抓進來的內容就夠了。

例如：

• 知識庫裡有使用者可寫入內容
• 系統會抓外部網站、論壇、文件進向量庫
• 多租戶環境允許不同來源內容一起被檢索

這種 threat model 非常接近現實。因為在 production 裡，很多 agent 失守的起點都不是模型被 jailbreak，而是不可信內容先被合法納入 retrieval path，然後一路被當成半可信上下文處理。

這篇 benchmark 測了哪五種攻擊？

作者把 prompt injection 測例分成五類，這個分類不算革命性，但好處是很貼近實務：

• Direct injection：最直白的「忽略前面指令」型覆寫
• Context manipulation：不直接叫模型違規，而是改寫它理解任務與角色的方式
• Instruction override：試圖在 retrieved content 裡重新定義 agent 的主要目標
• Data exfiltration：誘導模型吐出 system prompt、前文、敏感資料
• Cross-context contamination：利用多輪次上下文殘留，把污染延長成持續偏移

我覺得這篇最有價值的地方之一，是它沒有把 prompt injection 只看成單輪、單片段、單 payload 問題，而是把跨 context 污染也納進來。因為很多真實風險根本不在「這次回答有沒有怪」，而在「這段髒內容是不是開始偷偷改變 agent 之後的行為基線」。

資料集怎麼做？

作者建了一個包含 847 個 adversarial test cases 的 benchmark，另外還有 500 個 benign retrieval contexts 用來看 false positive。資料集核心結構包括：

• 200 個 base attack templates
• 不同 phrasing、obfuscation 與 sophistication 變體
• 每個案例都標上 attack category、difficulty 與 secure behavior expectation

更實用的是，作者沒有把攻擊只分型別，還分成三個複雜度層級：

• Level 1：明著來的 obvious injection
• Level 2：包在比較像正常內容裡的隱蔽攻擊
• Level 3：需要多步語意整合後才會觸發的 advanced attack

這個設計很重要，因為它逼你承認一件事：擋得住「ignore previous instructions」根本不代表擋得住 prompt injection。

防線不是一招，是三層

作者的 defense framework 分成三層，而且這三層剛好對應三個不同失守點。

第一層：retrieved content filtering

第一層是在資料進模型前先做檢查。作者用 embedding-based anomaly detection 去看 retrieved passage 是否更像已知惡意指令模式，而不是正常知識片段；另外也搭配一些 pattern matching，像是偵測與 query domain 不相稱的 override 字眼。

這一層的意義不是「判斷真相」，而是先把最可疑的內容攔下來或標記複檢。也就是說，它比較像 pre-ingestion triage，不是最終裁決者。

第二層：hierarchical system prompt guardrails

第二層是我覺得最值得一般 agent builder 拿去用的部分：重新設計 prompt 結構，而不是把所有東西胡亂串在一起。

作者把 prompt 明確拆成：

• immutable core instructions
• injection awareness directives
• 清楚標界的 retrieved documents
• 最後才是 user query

它想解決的是一個老問題：很多 RAG agent 的 context assembly，實際上根本沒有做好 privilege separation。system prompt、retrieved content、user intent 常常就被摻在一起，然後你再期待模型自己理解誰優先，這本來就太樂觀。

這篇的提醒很值得記：boundary clarity 本身就是 defense。

第三層：multi-stage response verification

第三層則是 output-side 檢查。也就是即使前面有髒內容漏網，最後還是再看模型輸出的行為是否已經出現：

• 不合理的 instruction-following 痕跡
• 敏感資訊外洩模式
• 與 user intent 明顯不一致的回應結構

作者用兩種方式驗：

• behavioral consistency checking
• secondary model evaluation

這層很像很多資安架構裡的 egress / consequence check。意思是：你不該只在入口擋，還要在結果落地前再問一次，這個輸出到底像不像一次已經被接管的行為。

實驗怎麼做？

作者評測了七個模型，包含 GPT-4、GPT-3.5、Claude 2.1、PaLM 2、Llama 2 70B Chat、Mistral 7B Instruct、Vicuna 13B v1.5，並比較四種設定：

1. 沒有防禦的 baseline RAG
2. 只有 content filtering
3. filtering + guardrails
4. 完整三層 defense framework

這樣的實驗設計有個好處：你不只知道「整包有沒有用」，還能看每層到底貢獻在哪裡。

核心結果：真正有效的是 defense-in-depth，不是單點神招

這篇 paper 最值得記住的數字有三個：

• baseline 攻擊成功率：73.2%
• 完整框架後：8.7%
• 合法任務保留率：94.3%

換句話說，作者主張完整框架把成功攻擊率壓低了大約 88%+，而且沒有把正常功能一起打爛。

更細看也很有意思：

• content filtering 單獨用時，可把攻擊成功率降到 41.0%，但對高階語意型攻擊仍不夠
• 再加 hierarchical guardrails，會進一步降到 23.4%
• 完整三層 才壓到 8.7%

這個結果其實再次驗證了一件很多人不想面對的事：prompt injection 沒有銀彈。真正像樣的防線，通常都得跨 input、context construction、output verification 三個面向一起做。

各層防線分別擅長擋什麼？

作者的 ablation study 也值得看，因為它沒有把三層混成一包神秘黑盒：

• Content filtering：對直接型、低階攻擊特別有效；擋 obvious payload 很有感
• Guardrails：對 context manipulation 與 instruction override 很重要，因為它本質上是在重建權限順序
• Response verification：對那些已經穿過前兩層、準備在輸出階段造成後果的攻擊最關鍵

我會把這解讀成：不同 prompt injection 攻擊對應的是不同 security control failure，當然不可能靠同一種 detector 全包。

這篇論文真正提醒我們什麼？

我覺得這篇真正值得帶走的，不只是「作者做出一個數字不錯的防禦框架」，而是它把 prompt injection 防禦從單純的 classifier 心態，往比較像系統安全的方向拉。

它其實在講三件事：

1. retrieval content 是不可信輸入，不是半可信知識
2. context assembly 決定了 trust boundary 有沒有真的被顯性化
3. output verification 應該被視為 first-class security control，而不是補丁

這跟最近許多 agentic security 論文的共通主線其實一致：真正危險的未必只是某段看起來像 prompt 的字串，而是不可信資料何時開始被納入高權限 reasoning path，最後又在哪一步被轉成 action 或 leakage。

這篇論文的限制也很明顯

當然，這篇也不是沒有侷限。

• 它聚焦在 RAG-enabled AI agents，不是更複雜的 tool-using / delegated multi-agent 生態
• 雖然有 cross-context contamination，但整體場景仍比真實長流程 agent 簡化
• 防禦效果很依賴 benchmark 設計，對更 adaptive、agent-tailored injection 的泛化還要再驗
• 使用 secondary model 做 verification，在高吞吐 production 環境仍有額外成本與校準問題

也就是說，這篇比較像是把 RAG prompt injection defense 的基礎盤整理好，而不是已經把整個 agent runtime security 問題解完。

對實務團隊的啟發

如果你正在做企業內部知識助理、RAG chatbot、文件 agent、SOC copilot 或任何會把外部資料塞進模型上下文的系統，這篇最實際的啟發其實很直接：

• 不要把 retrieval 命中的內容直接當乾淨資料餵進 prompt
• 要把 system instruction 和 retrieved documents 的權限層級顯性分開
• 需要在 output / action 前做 second-pass verification
• 評估時不要只看單輪 obvious jailbreak，要納入隱蔽與跨輪污染情境

這些事情看起來不花俏，但往往比再多調幾句 system prompt 更有用。

總結

Securing AI Agents Against Prompt Injection Attacks 這篇論文最有價值的地方，不是它宣稱自己找到 prompt injection 的終極解法，而是它把防禦重心擺在比較正確的位置：用 benchmark 先把風險結構化，再用多層 runtime control 去把 exploit path 一段一段切短。

如果要用一句話收斂這篇的主線，那就是：

對 RAG agent 而言，真正該被保護的從來不只是 prompt，而是那條把不可信內容一路轉成模型決策與輸出的控制鏈。

這也是為什麼這篇雖然看起來像 benchmark + defense framework，但它真正補上的，其實是 agent security 裡很核心的一塊：把 prompt injection 從單點檢測問題，拉回成一個需要分層治理的系統安全問題。