某安全团队上周做了一次渗透测试。他们用一条隐藏指令,让某大厂的检索增强生成(RAG,一种让大模型读取企业私有文档的技术)系统吐出了全部客户合同。

代码扫描工具全程静默——问题根本不在代码里。

打开网易新闻 查看精彩图片

正方:安全厂商的盲区

传统静态应用安全测试(SAST,一种自动检查代码漏洞的工具)的逻辑很清晰:扫描代码→找漏洞→修复。这套方法论统治了企业安全二十年。

但RAG系统的攻击面变了。恶意指令藏在用户上传的PDF、邮件正文、甚至会议纪要的脚注里。系统读取这些"数据"时,指令被触发,模型行为被劫持。

安全厂商的回应是:加过滤层、做输入清洗。这能挡住已知攻击模式。

反方:数据扫描是伪需求

另一派认为,问题被夸大了。RAG的提示词注入(Prompt Injection,一种通过特定文本操控AI输出的攻击)和传统的SQL注入本质不同——后者有标准化防御方案,前者攻击面无限分散。

给每份文档做"恶意意图检测",成本可能超过收益。更务实的做法是:敏感数据不上RAG,或者给模型输出加人工审核。

数据扫描工具的市场成熟度也存疑。没有公开基准测试,厂商各说各话。

判断

两派都低估了问题的结构性。

RAG的安全边界正在从"代码定义"转向"数据定义"。当企业把十年邮件、合同、设计文档喂给AI,攻击者只需要在这些材料里埋一颗种子。

SAST厂商的真正危机不是技术盲区,而是商业模式盲区——他们卖的是"代码保险",但客户需要的变成"数据保险"了。这个错配,比任何单点漏洞都致命。