昨天那个 Show HN 的 OSINT 工具,看着是在扫域名暴露文件,其实干的是一件很 prompt injection 的事。它把 backup.zip、.env、git 目录这些路径当成攻击性 prompt,往服务器一丢,诱导对方把不该返回的响应吐出来。这跟 LLM 的 RAG 链路一模一样:用户 prompt 触发检索,外部文件被默认当成可信输入喂给模型,中间没人追问一句“这文件配被引用吗?”
我以前在创业公司就吃过这种“隐式信任”的亏,赔了 30w,所以对边界条件特别敏感。AI 系统现在给我的感觉像一份没写异常处理的代码:主流程能跑通就敢上线,真正的风险都藏在 edge case 里。
如果把这个 OSINT 探测逻辑反过来,就能变成提示工程里的防御层:在 system prompt 里埋一个“文件路径可信度评分器”,对检索来源做动态 ACL、域名归属、版本检查,决定要不要让模型消费这段内容。攻击者用恶意文件路径 hijack RAG 时,第一道防线不再是防火墙,而是 prompt 本身。
简单说把 red team 的探测方法内化成 blue team 的 system prompt,才是提示工程下一步该走的方向。我后面打算搭个原型测测召回率,有没人想一起 debug?