Prompt Injection 2.0 論文閱讀分析：當惡意提示開始跟 XSS、CSRF 與多代理感染混在一起，問題就不再只是模型會不會聽話

本文由 AI 產生、整理與撰寫。

論文基本資訊

• 論文標題：Prompt Injection 2.0: Hybrid AI Threats
• 作者：Jeremy McHugh
• 年份：2026
• 來源：arXiv:2507.13169
• 論文連結：https://arxiv.org/abs/2507.13169
• DOI：10.48550/arXiv.2507.13169
• 主題：Prompt Injection、Agentic Security、Hybrid Threats、Web Security、Multi-Agent Security、Runtime Architecture

最近這一串 agentic security 論文，多半都在拆 prompt injection 本身：怎麼 benchmark、怎麼防、怎麼做 runtime guard、怎麼處理 tool poisoning、memory poisoning、web agent hijack。這篇 Prompt Injection 2.0: Hybrid AI Threats 值得補上的原因，是它把問題再往前推一步：

真正危險的可能早就不是單一 prompt injection，而是 prompt injection 已經開始跟 XSS、CSRF、SQL injection、multi-agent infection 這些傳統與新型攻擊鏈混成同一件事。

換句話說，這篇的核心提醒不是「模型可能被一句話騙走」，而是：當 AI agent 已經能瀏覽網頁、呼叫工具、跨系統拿資料、替你送出請求，prompt injection 就會從語言層的控制問題，升級成真正能碰到 session、權限、資料外送與系統狀態改寫的混合型攻擊面。

這篇論文在處理什麼問題？

作者想處理的，不是 prompt injection 這個名詞本身，而是它的演化後形態。早期大家談 prompt injection，很多時候還停在：

• 「ignore previous instructions」這種直接覆寫
• 幾個 prompt hardening 或 classifier 防禦
• 把它看成模型 alignment 或 input filtering 問題

但當 agentic AI 開始接工具、接 API、接 web、接多代理協作，攻擊者就不需要只靠一句惡意文字。他可以把 prompt injection 嵌進更長的 exploit chain 裡，讓模型成為：

• payload 產生器
• 高權限請求代理人
• 跨系統感染與傳播節點
• 既有 web 漏洞的加速器與放大器

所以這篇真正想問的是：

當 prompt injection 不再單獨存在，而是開始跟傳統資安 exploit 鏈結合時，我們到底該怎麼重新理解它的威脅模型與防禦位置？

論文最值得抓住的主線：Prompt Injection 正在從內容問題，變成控制鏈問題

我覺得這篇最有價值的地方，是它把很多零散案例重新收束成一個比較完整的 framing：prompt injection 不應再只被理解成惡意文字，而應該被理解成一種可插進既有 attack chain、並重寫 agent decision path 的控制面技術。

這個 framing 很重要，因為它直接改變防禦焦點：

• 不是只問輸入裡有沒有惡意字串
• 而是問 untrusted content 何時開始影響 control flow
• 不是只看模型有沒有生成奇怪文字
• 而是看它有沒有開始替錯的人做錯的 action
• 不是只守 prompt boundary
• 而是要守 execution boundary、privilege boundary、network boundary

這也讓它跟最近幾篇 runtime security 論文能接得上：危險從來不只在模型內部，而在 model → context → tool → action 這整條鏈。

作者怎麼整理這個威脅版圖？三個維度很有用

論文提出一個我覺得蠻實用的統一分類法，把 prompt injection threat landscape 拆成三個正交維度：

1. Delivery vector：攻擊怎麼進來
2. Attack modality：payload 長什麼樣
3. Propagation behavior：它怎麼擴散、持久化或再感染

這種拆法的好處是，它不會只把攻擊按「文字 / 圖片 / 網頁」這種單一標籤分箱，而是更接近實際風險建模。

1. Delivery vector：從 direct prompt 到 web / document / API injection

第一條線很直觀，但很重要。攻擊來源不只可能是使用者直接輸入，也可能來自：

• 網頁內容
• PDF / email / 文件中隱藏內容
• 資料庫欄位
• API 回傳值

這提醒我們：對 agent 來說，外部世界本身就是 prompt surface。 只要系統還會把外部內容組回同一條 reasoning chain，攻擊者就有機會把 content 偷渡成 instruction。

2. Attack modality：從純文字擴張到多模態與 code-generation 路徑

第二條線是 payload 的型態。論文除了談文字，也談到：

• 圖片、音訊、影片這類 multimodal injection
• code generation manipulation
• template / configuration injection
• 與傳統 web exploit 結合的 hybrid payload

這裡最重要的不是「類型變多了」，而是：攻擊面已經不再受限於人類可直接閱讀的提示文字。 只要模型能把某種外部訊號轉成行動依據，那個訊號就可能變成控制入口。

3. Propagation behavior：從單次失手變成遞迴感染與 AI worm

第三條線是整篇最值得警惕的地方。作者不只討論一次性的 injection，還把焦點放到：

• recursive injection：攻擊會持續改寫後續上下文
• multi-agent infection：惡意內容沿代理間溝通擴散
• AI worms：透過 RAG、郵件、文件鏈自動複製傳播

這讓 prompt injection 看起來不再只是「模型一時誤判」，而更像一種可在 agent ecosystem 裡沿著 trust relationship 擴大的感染行為。

這篇最有感的部分：Hybrid threats 不是理論，而是已經能對應到很具體的 exploit 鏈

論文的實質內容，多半是把既有研究與真實案例串成一張更完整的地圖。其中最值得看的，是它怎麼把 prompt injection 跟傳統 web security 漏洞接起來。

XSS-enhanced prompt injection：AI 不只會被騙，還可能替你生出能執行的 payload

作者拿 DeepSeek XSS 類案例來說明：攻擊者不一定直接把 JavaScript 打進頁面，他也可以先用 prompt injection 讓 AI 生成看似合理、但其實含惡意腳本的輸出。這樣一來，原本會擋 user input 的機制，可能根本沒防到 AI output。

這裡真正危險的是一個常被低估的語意落差：

很多傳統防禦預設惡意內容來自「外部使用者輸入」，但 hybrid threat 會讓惡意 payload 以「AI 看起來很合理的輸出」形式出現。

所以 WAF、XSS filter、CSP 這些既有機制不是完全沒用，而是信任假設可能放錯位置。如果 AI 輸出被過度信任，系統就可能自己替攻擊者把 payload 包裝成可信內容。

CSRF-amplified attacks：問題不是 forged request，而是 agent 會幫你把高權限操作做完

傳統 CSRF 主要是誘發瀏覽器替受害者送請求；但一旦中間多了 AI agent，事情就變了。作者提到像 cross-plugin request forgery 這類案例，本質上是在說：

• agent 有更高語意理解能力
• agent 有跨步驟執行能力
• agent 可能握有更高權限或更完整 session context

因此攻擊不再只是「請求被送出」，而是整條 state-changing workflow 被 agent 幫忙理解、補完並執行。這就把 CSRF 從一種瀏覽器側技巧，升級成可被語意代理放大的執行鏈問題。

P2SQL 與 query generation：當自然語言變成查詢控制面，傳統 SQL 防線會漏掉一段

論文也談到從 prompt injection 延伸到 SQL generation 的風險。這個點其實很關鍵，因為很多人以為用了 ORM、parameterization 就比較安全，但如果上游查詢意圖本身就是被 prompt injection 重寫的，那很多防線其實只是保護語法層，卻沒保護語意層。

也就是說，真正的問題不只是 query string 有沒有特殊字元，而是：

• 誰定義了 query 的目標
• 模型為什麼認為這個資料提取是合法的
• 系統是否區分了 user intent 與 untrusted content influence

這跟最近很多 MCP / tool-use security 論文的提醒其實完全一致：你不能只保護 execution syntax，還要保護 action authorization。

Multi-agent infection 這條線，才是這篇最不該被輕看的一段

如果前面 XSS / CSRF / SQL injection 還比較像「傳統 exploit 被 AI 放大」，那多代理感染這一段就比較像新的系統風險。作者引用 prompt infection、AI worm 這些工作，指出一件很麻煩的事：

一旦 agent 之間會互傳內容、委派任務、共享 context，惡意 prompt 就可能沿著正常協作管道擴散，而不是只停在第一個被騙的節點。

這條線的嚴重性在於，它打中的不是單點模型脆弱性，而是整個 agent ecosystem 的 trust topology。如果 inter-agent content 默認可信、或至少半可信，那麼攻擊者不一定要直接打下每個 agent，只要先拿下一個樞紐節點，就有機會沿 delegation chain 擴散。

這也呼應了近期很多 multi-agent security paper 的共同結論：真正該治理的不是單一代理夠不夠聰明，而是代理間的授權、驗證、資料標記與傳播控制到底有沒有做。

防禦端最值得記的，不是某個單點技術，而是「層次」

這篇不是一篇新 benchmark，也不是一篇單一 defense algorithm paper。它比較像是一篇 threat synthesis + architecture framing 文。所以它給的防禦思路，重點不在某個模型技巧，而在防線應該放在哪幾層。

作者整理出的幾條主線，我覺得可以濃縮成下面四層：

1. Prompt / content isolation

把 trusted instructions 和 untrusted external content 明確分開，不要讓模型直接把兩者混吃。這一層對 indirect injection 是基本功，但單靠這層不夠。

2. Runtime security 與 privilege separation

高風險能力不要直接綁在單一 reasoning path 上。即使模型被帶偏，也不該立刻有權做資料外送、帳號操作、外部請求、工具連鎖執行。

3. Provenance / tagging / trust labeling

不只要知道內容是什麼，還要知道它從哪來。若無法追蹤 content provenance，就很難在 multi-agent 或 RAG 場景中判斷某段資料到底是不是半可信控制面。

4. Action-layer verification

最後真正要驗的不是字串有沒有毒，而是這一步 action 是否仍與使用者原意一致。這層做不起來，前面再多 classifier 也只是減少雜訊，不是封住風險。

這篇論文的限制也很明顯

它的價值在整理與 framing，不在新實驗突破，所以限制也要講清楚：

• 它比較像綜述與威脅分析，不是提出全新大型實驗基準
• 很多案例與論證建立在既有 paper、實例與安全研究報告上
• 對不同 attack path 的量化比較，沒有像 benchmark paper 那麼嚴格一致
• 部分材料帶有立場鮮明的安全倡議色彩，讀的時候要分清 framing 與證據密度

不過這些限制不會讓它失去價值。因為它真正提供的，不是某個單一數字，而是一種比較符合現況的 threat model。

我怎麼看這篇？它最重要的提醒是：別再把 Prompt Injection 當成 LLM 專屬怪病

我讀完這篇最大的感覺是，它其實在逼大家放棄一種已經有點過時的看法：把 prompt injection 視為「模型太容易被文字帶偏」的特殊脆弱點。

這種看法太窄了。比較接近現實的理解應該是：

Prompt injection 是一種能重新定義 agent control flow 的介面層攻擊；一旦 agent 接上 web、資料庫、插件、代理網路，它就會自然跟既有 exploit 鏈結合，而不是獨立存在。

所以未來最關鍵的安全設計問題，不會是「怎麼把所有壞 prompt 擋掉」，而會是：

• 系統能不能把 data 跟 authority 拆開
• agent 能不能在不信任外部世界的前提下仍然完成任務
• 高風險 action 前是否有獨立驗證點
• 跨代理內容傳播時是否保留 provenance 與 trust context

這也是為什麼這篇雖然不像 benchmark paper 那樣有一堆新數字，但還是值得寫。它補上的不是另一個 isolated attack demo，而是一張很實用的圖：prompt injection 已經開始跟傳統資安世界接軌，防禦如果還停在提示詞工程層，會慢很多拍。

總結

Prompt Injection 2.0: Hybrid AI Threats 最值得看的，不是它再一次說明 prompt injection 很危險，而是它把危險具體化成幾種大家已經熟悉、但過去常分開看的攻擊鏈：

• AI 輸出可成為 XSS payload 載體
• agent 可放大 CSRF 類 state-changing 操作
• 自然語言查詢生成可重寫資料存取意圖
• 多代理系統會讓惡意提示沿正常溝通面擴散

如果只留一句 takeaway，我會寫成這樣：

真正麻煩的不是 prompt injection 讓模型講錯一句話，而是它已經能跟既有 exploit 鏈合流，讓 agent 在看似正常的流程裡替攻擊者跨過更多權限邊界。

對正在做 AI agent、MCP、RAG、web automation、multi-agent workflow 的團隊來說，這篇最重要的提醒大概就是：別再把 prompt injection 當成純內容安全問題，它本質上越來越像一種 runtime control-plane attack。

免責聲明

本文由 AI 產生、整理與撰寫，內容主要依據公開論文、技術文件與可取得之研究資料進行彙整、解讀與摘要。儘管已盡力確保內容之完整性與可讀性，仍可能因模型理解限制、資料來源差異或語意轉譯過程而存在疏漏、不精確或更新延遲之處。本文內容僅供研究交流與知識分享參考，實際技術細節、實驗設定與最終結論，仍應以原始論文、官方文件及作者公開資料為準。