研究
Agentic Security
-
Agentic Security
line jumping:一个被投毒的 MCP tool 如何劫持一个从未被调用的模型
一个 MCP tool 的 description 会在 tools/list 阶段——早在该 tool 被调用之前——就被加载进模型的 context。这个协议细节把一个 description 字段变成了 prompt injection 载荷,哪怕用户从未碰过这个 tool,它也会触发。本文讲清其机制、攻击类别,以及能抓住它们的审计方法。
-
Agentic Security
间接 prompt injection 是 agent 时代的 SSRF
SSRF 是服务器去抓取攻击者的 URL 并信任其响应。间接 prompt injection 是 agent 读取攻击者的内容并把它当作指令来信任。同样是数据与控制之间那道缺失的边界——本文给出确切的 gadget、能绕过过滤器的编码方式,以及为什么“忽略前面的指令”这一招在几年前就失效了。