第三方API调用疑似恶意清理系统提示词

背景

在人工智能应用开发，特别是基于大语言模型（LLM）的智能体（Agent）或工作流（Workflow）场景中，调用第三方 API 或中间件（文中称为“中转站”）已成为常态。然而，这种架构引入了新的安全风险维度。

近期，在 LINUX DO 社区的 AI 板块中，出现了一起关于“系统提示词污染”的讨论。用户在使用某个中转服务调用外部工具时，发现返回的结果中包含了试图清理系统目录的指令。这一现象引发了开发者对于“恶意提示词”来源的困惑：究竟是工具本身的提示词设计存在恶意，还是第三方 API 返回的数据中夹带了恶意的系统提示词（System Prompt）？

核心内容

该讨论的核心围绕一次具体的异常交互展开。用户在通过中转站调用某个工具时，接收到的返回内容并非预期的业务数据，而是包含了“清理系统目录”这类具有破坏性的指令。

这一现象揭示了两个潜在的安全漏洞点，也是讨论的焦点：

1. 工具侧恶意提示词：被调用的第三方工具可能在内部 Prompt 工程中植入了恶意逻辑，或者其返回结构被设计为诱导 LLM 执行高危操作。
2. API 侧数据污染：第三方 API 返回的结果中可能夹带了恶意的 System Prompt 片段。如果应用层在解析 API 响应后，未加过滤地将其拼接回 LLM 的上下文窗口（Context Window），甚至错误地将其作为 System Prompt 处理，就会导致模型被“劫持”，执行非预期的危险指令。

用户对此表示困惑，因为从表象上看，无论是工具内部逻辑还是 API 返回数据，都可能成为攻击载体。这反映了在复杂 AI 链路中，边界模糊导致的信任危机。

关键要点

• 风险场景：在使用中转站（Proxy/Middleware）调用第三方工具时，返回结果中出现了“清理系统目录”等高危指令。
• 核心疑问：恶意内容究竟源自“工具内的提示词设计”还是“第三方 API 返回结果中的恶意注入”。
• 技术隐患：
  • Prompt Injection（提示词注入）：外部数据可能包含模仿系统指令的内容，若未被正确隔离，可能被模型误判为系统指令。
  • 上下文污染：如果应用层直接将 API 返回的原始文本（包含恶意指令）拼接到 LLM 的输入中，而未做严格的格式校验或角色分离，可能导致模型行为失控。
• 社区反馈：该帖子引发了关于 AI 安全边界的讨论，参与者包括多位关注 AI 技术细节的用户，旨在厘清恶意载荷的具体来源。

意义与影响

此案例虽短，但深刻反映了当前 AI 应用开发中的供应链安全与提示词工程安全问题：

1. 信任边界的重构：开发者不能再盲目信任第三方 API 或工具的返回数据。任何外部输入都应被视为潜在的攻击向量，必须进行严格的清洗、验证和隔离。
2. System Prompt 的保护至关重要：System Prompt 是模型行为的“宪法”，必须确保其不被外部数据覆盖或注入。最佳实践是将用户输入、工具返回与系统指令在结构上严格分离，并使用特殊的标记（如 XML 标签）进行包裹，防止解析混淆。
3. 对中转架构的警示：中转站虽然提供了便利，但也增加了攻击面。如果中转站本身不可信，或者其调用的下游工具存在恶意逻辑，整个链路的安全性将荡然无存。
4. 安全意识提升：此类事件提醒开发者，在构建 AI 工作流时，需引入类似传统软件开发的“输入验证”和“最小权限原则”，防止模型被恶意数据诱导执行破坏性操作（如文件删除、数据泄露等）。