研究
SSRF 是服务器去抓取攻击者的 URL 并信任其响应。间接 prompt injection 是 agent 读取攻击者的内容并把它当作指令来信任。同样是数据与控制之间那道缺失的边界——本文给出确切的 gadget、能绕过过滤器的编码方式,以及为什么“忽略前面的指令”这一招在几年前就失效了。