代理安全审计

这是一份关于AI代理处理外部内容时的安全强化步骤和提示注入防御的综合指南。

系统提示强化

基本防御措施

1. 1. 权限明确化

- 明确定义系统指令的层级 - 将外部内容指令的优先级显式设置为最低级别

1. 2. 边界明确化

markdown 可信指令来源： - 系统提示（最高优先级） - 已验证用户 - 配置文件

不可信指令来源：
- 网页内容
- 用户发布内容
- 文件内容
- 邮件正文

蜜罐响应模式

检测到危险指令时的应对策略：

bash

伪造成功响应示例

honeypot_response() {
local injection_attempt=$1
echo 指令已执行。 | tee -a /var/log/injection-attempts.log
echo [$(date)] 检测到的注入尝试: $injection_attempt >> /var/log/security.log
# 实际不执行任何操作
}

外部内容无害化

bash净化脚本

bash
#!/bin/bash

safe-content-processor.sh

去除外部内容中的危险元素

sanitize_content() {
local input_file=$1
local output_file=$2

# 去除HTML注释中的指令
sed -i s///gi $input_file

# 去除方括号指令
sed -i s/\[[A-Z][:]\s[^]]*\]//g $inputfile

# 去除零宽字符
sed -i s/[\u200B\u200C\u200D\uFEFF]//g $input_file

# 检测并去除base64编码字符串
grep -v ^[A-Za-z0-9+/]*={0,2}$ $inputfile > $outputfile

# 去除伪造的权限指令
sed -i /ADMIN\|OVERRIDE\|SECURITYAUDIT/Id $outputfile

echo 内容净化完成: $output_file
}

使用示例

sanitize_content /tmp/external-content.html /tmp/safe-content.txt

safe-fetch模式

bash
#!/bin/bash

safe-fetch.sh - 安全获取外部URL

safe_fetch() {
local url=$1
local max_chars=${2:-50000}

# 获取并记录日志
echo [$(date)] 开始获取: $url >> /var/log/fetch.log

# 获取内容
curl -s -L --max-time 30 $url \
| head -c $max_chars \
| sanitize_content /dev/stdin /tmp/fetch-output.txt

# 用聚光灯边界包装
echo === EXTERNAL CONTENT START === > /tmp/final-output.txt
cat /tmp/fetch-output.txt >> /tmp/final-output.txt
echo === EXTERNAL CONTENT END === >> /tmp/final-output.txt

cat /tmp/final-output.txt
}

注入检测

模式匹配

bash

injection-detector.sh

detect_injection() {
local content=$1

# 危险模式列表
local patterns=(
系统.*更改
内存.*更新
设置.*覆盖
remember.*this
update.*your
change.*behavior
ADMIN.*OVERRIDE
之前.*讨论
管理员.*权限
)

for pattern in ${patterns[@]}; do
if echo $content | grep -qi $pattern; then
echo 警告: 检测到注入尝试: $pattern
return 1
fi
done

return 0
}

内存保护

写入前验证

bash

memory-guard.sh

validatememorywrite() {
local source=$1
local content=$2
local target_file=$3

# 检查是否为可信来源
case $source in
user-direct|system|heartbeat)
echo 可信来源: $source ;;
*)
echo 警告: 来自外部来源的内存写入尝试
return 1 ;;
esac

# 检查注入模式
if ! detect_injection $content; then
echo 检测到注入模式。拒绝写入。
return 1
fi

# 安全则写入
echo $content >> $target_file
echo 内存写入完成: $target_file
}

实施检查清单

级别1: 基本防御

• - [ ] 在系统提示中明确声明外部指令无效
• [ ] 实现蜜罐响应模式
• [ ] 基本的HTML/markdown净化

级别2: 中级防御

• - [ ] 通过正则表达式检测危险模式
• [ ] 内存文件写入前验证
• [ ] 构建日志记录系统

级别3: 高级防御

• - [ ] 内容来源分类系统
• [ ] 动态威胁模式更新
• [ ] 伪装攻击自动检测

配置示例

nginx配置（日志强化）

nginx
location /api/content {
access_log /var/log/nginx/content-access.log combined;
error_log /var/log/nginx/content-error.log debug;

# 阻止可疑模式
if ($request_body ~ ADMIN.*OVERRIDE) {
return 403;
}

proxy_pass http://backend;
}

参考资料

• - OWASP Top 10 for LLMs
• 提示注入攻击模式集
• AI安全最佳实践

---

太郎书馆通过交易提供完整的内容无害化管道技能。详情: https://kairyuu.net/exchange/