攻破 LLM 驱动的应用：从上下文投毒、工具越权到纵深防御 (opens in new tab)

📌 One-Sentence Summary 这场安全实战演讲展示了传统应用漏洞如何污染 LLM 上下文并触发危险的工具操作，进而提出最小权限、授权校验、护栏、可观测性与人工控制等具体防护实践。 📝 Summary Brian Vermeer 通过一个刻意保留漏洞的 Spring Boot 租车应用，说明 LLM 系统不仅会继承传统软件的弱点，还在提示词、RAG 文档、聊天历史、模型与工具之间引入了新的信任边界。现场攻击演示包括：利用路径遍历篡改检索到的政策内容，通过 SQL 注入伪造记忆，使用多步提示绕过信息披露规则，借助权限过大的工具执行破坏性 SQL，以及诱使较小的模型虚构敏感账户参数。演讲随后构建了一套纵深防御架构：保障依赖项与传统代码安全，将所有上下文来源视为不可信输入，分层部署输入和输出护栏，在模型之外执行授权校验，仅暴露能力明确且范围狭窄的工具，高风险操作必须经过确认，维持确定性的状态转换，观测真实发生的副作用，将敏感工作负载路由到私有模型，并审计 MCP 服务器与下载的智能体技能。 💡 Main Points 整个 LLM 上下文都是攻击面 系统指令、检索文档、聊...