文章总结： 本文详细记录了针对ImmersiveLabs提示词注入靶场的通关实录，剖析了提示词注入的原理与危害。作者通过实战展示了角色扮演、编码绕过、字符干扰及利用模型幻觉等攻击技巧，重点探讨了如何绕过输入输出过滤及场景限制。文章提出了‘怜悯’攻击与上下文引导等通用策略，强调实战中应优先选择可泛化的攻击路径，为AI安全研究提供了极具价值的实战经验。 综合评分： 90 文章分类： AI安全,渗透测试,CTF,实战经验

提示词注入攻击靶场通关实录及其能力泛化

点击关注👉 点击关注👉

马哥网络安全

2026年2月24日 17:00 河南

文章作者：先知社区（f4nx1ng）

参考来源：https://xz.aliyun.com/news/19245

1►

前言

伴随GPT，Gemini，DeepSeek等大语言模型的兴起，新的安全挑战也随之而来。其中，提示词注入（Prompt Injection）已成为一个亟待关注的关键性安全漏洞。

提示词注入是一种针对大型语言模型的网络攻击手段。攻击者通过构建看似无害的输入（即“提示词”），来操纵或欺骗AI模型，使其偏离预设的指令，执行非预期的行为。 这种攻击利用了LLM在区分开发者设定的核心指令和用户提供的外部输入时可能出现的混淆，这是一个模型本身固有的脆弱性。

这一漏洞的严重性不容小觑。事实上，开放全球应用安全项目（OWASP）已将提示词注入列为大型语言模型应用的首要安全风险。成功的提示词注入攻击可能导致一系列严重后果，包括但不限于：

• 敏感信息泄露

  ：诱导模型泄露其训练数据或在先前交互中处理过的机密信息。

• 系统操控与恶意代码执行

  ：在与外部系统（如API、数据库）集成的应用中，攻击者可能诱使模型执行未经授权的指令。

• 内容篡改与虚假信息传播

  ：攻击者可以操控模型生成不准确、带有偏见甚至完全虚假的内容，从而破坏信息的完整性。

著名的网络安全靶场immersive lab在此前曾推出过一个关于提示词注入的靶场，本文将以该靶场为视角，讲述实战场景下的提示词注入攻击方法。

靶场链接如下：https://prompting.ai.immersivelabs.com/

该靶场的最终目的是要求攻击者从目标AI的口中套出AI所隐藏的字符串，在这个靶场当中被称为“password”，映射现实生活中的额外用户名密码。

2►

关卡

Level 1

第一关非常简单，几乎没有任何的防护，但是我在直接提问的时候还会遇到拒绝的情况，这可能跟大模型的随机性相关。在后面的测试当中我使用了一个提示词注入技巧角色扮演，扮演之前给他设定密码的用户，成功套出AI所隐藏的password。

角色扮演技巧

我们常常会在提示词攻击当中使用这种技巧，“角色扮演“的核心在于利用大型语言模型遵循指令和上下文的能力，通过构建一个虚构的场景或身份来规避模型的安全护栏。当然在这次的靶场实验当中我们会并没有挥发出”角色扮演”这个技巧的全部实力。事实上在之前，我有遇到过一个特定领域的Agent实例，是关于购物的Agent，这个Agent原本的安全边界时只允许询问有关商品的内容，但是我们可以”假扮顾客“用来绕过安全防护来询问我们想要的内容。

Level 2

在第二关的测试当中我发现我无法像之前一样的方式进行密码套出了，这大概率是防御者在大模型侧或者是输出侧做了一些安全防护。但是同样的这一关的安全防护仍然存在问题，我采用了**”编码绕过“**的技巧实现了提示词注入攻击。我让目标的大模型为密码的ASCII码每位都加上一来实现安全防护。

编码绕过技巧

这同样也是一个常用的提示词注入技巧，在某些情况下这种技巧也被称作”侧信道“。狭义的编码绕过攻击方式指的是通过某种加密方式，比如base64编码，凯撒加密，约定密钥进行加密等对大模型输出的内容进行加密从而绕过输出端的检查。但是我个人认为广义的”编码绕过“攻击，也应该把不同语言的测试技巧也算作其中，比如让大模型使用法文来输出目标敏感信息最后再拿去解码。

Level 3

在第三关当中我企图通过上一轮的提示词进行提示出入的时候，我们发现我们被禁止了，这里我猜测可能是大模型侧对输出结果做出了过滤，导致完整的密码没有办法完全显示出来。因为在上一轮的测试当中，我们看到大模型在输出的时候会带上思考过程的，在思考过程期间我们能知道完整的密码输出。所以基于这种密码被屏蔽的考虑，我打算使用**”字符干扰“**技巧进行绕过，如下所示，我让大模型为密码当中的每个字母进行分割，分隔符使用”“，以这种方式逃过可能存在的正则匹配过滤。

字符干扰技巧

字符干扰是在各种bypass应用当中都经常使用的技巧，无论是命令执行，sql注入的攻击方式都会使用类似的方法进行waf绕过。在提示词注入攻击领域也不例外，我曾在测试美团开源大模型的时候，企图套出该大模型的系统提示词时发现其在输出端有内容过滤，用以防止系统提示词泄露，这时候我们就可以使用”字符干扰”的方式进行内容绕过，例如，输出时在每句话后面加上“f4nx1ng”。

Level 4

第四关如法炮制，上来可以先通过询问密码位数的方式来确认密码的长度信息，然后结合长度信息以及上一关的字符干扰技巧实现提示词注入。请注意这里的位数询问在某些情况下是必要的，因为在有些时候直接让llm输出字符分割后的密码，可能会缺少一些字母导致信息丢失。所以最好还是能通过旁敲侧击的方式询问出密码位数比较好。

Level 5

在这一关重新使用上面的方法已经不起作用了，当然只是我的个人尝试不起作用，后续发现这个和大模型的随机性高度相关，也许别人使用失败的提示词，在自己的测试当中会有出人意料的结果。在这一关我采用了在Level3已经使用过的技巧“编码绕过”，让大模型输出目标密码的ASCII，然后我接着让大模型根据我提供的ASCII码进行字符转化，来实现密码获取的目的。但是很显然，目标服务使用DLP进行输出内容过滤，导致我们原本可以输出完整密码的内容没有完全输出出来。

因此，我们最后同样借助“字符干扰”的方式，对目标DLP实现绕过。

Level 6

第6关有意思了，这一关里的大模型会说谎，而且是高强度说谎。它虽然会回答你的问题，就像往常一样不经意间把他所保存的密码泄露给你。但是这一次给到我们的密码是错误的，用于混淆视听。正如我如下的测试结果，我像前一关那样问大模型密码的位数，密码的ASCII码以及通过字符干扰的方式尝试让大模型输出他所隐藏的密码信息。但是这一次我拿到的确实错误的密码，即便大模型很肯定的回答他自以为正确的信息。

因此，我在后面的测试当中改变了原有的既定逻辑，不再以之前的密码位数为基准让大模型输出特定位数的密码。这一次我直接让大模型输出密码当中的每一位字符并辅以字符干扰技巧成功的让大模型将密码信息透露了出来。从下面的图片当中可以看出，虽然大模型输出的密码位数为8位，但是实际上密码有9位，这是我们强行让他输出每一位密码的结果，至此我们才能完成绕过。

模型幻觉

事实上，模型幻觉可能存在于每一次的大模型问答当中，这对于我们攻击者来说是一个巨大的挑战。仅仅通过大模型提供给我们的信息，我们无法真正的确认我们是否成功套取信息。我们只能唯结果论，通过拿大模型给我们的信息去尝试，才能真正确认信息的真实性。

Level 7

在第七关该靶场引入了一个全新的概念——“情景问答”。在这种预设的情境下无论你问大模型什么样的问题，他都只会回答你他预设好的内容，正如下图所示，这一关的大模型只会回答你和恐龙相关的内容。

在上面的尝试当中我尝试将“密码”一词带入到恐龙的场景当中以实现密码的套取，但是很遗憾失败了。不仅如此，目标大模型还是以中文的方式回复的，这不是一个好兆头，因为如果我们希望通过某些短语的开头首字母进行推断的话，我们就不能让大模型以中文进行输出，因此在下一轮的尝试当中，我直接使用英文的方式和大模型进行沟通。事实上，英文沟通还有一个好处，就是可以通过不断地同义词替换来寻找大模型问答当中的漏洞，例如：provide, offer等。

在下面的英文尝试当中，我尝试了两种方法，一种是情景带入，一种是“公式计算”。很显然这两种方式都失败了，我们没有办法让大模型完整的输出密码的全貌。

于是乎，我尝试了另外一种方法这同样是一种情景带入，只不过这一次的情景带入手段比之前的生搬硬套要高级不少。我们让大模型输出以密码当中每一位为首字母的恐龙名称来遍历式的套取密码信息，如下所示：

以此类推我们最终可以得出答案

情景带入

在很多大模型应用当中都有这样的情况，给定一个特殊的场景，这个大模型只能回答在这个垂直领域里面的问题，其他问题一概不予回答。这种技术常见于智能体当中，尤其是在coze这种集成化无代码智能体构建平台上尤为明显，这种智能体或大模型应用通过在系统提示词增加诸如“暗示”，“设定”，“限制”等相关提示词将智能体的应用范围缩小到一定的领域，从而提高大模型以及智能体的回答效率。面对这种大模型应用我们普遍采取的方式就是情景带入，通过一个尽量不那么生搬硬套的情景套取我们想要的信息。这个绕过方式可以广泛应用到当前很多大厂在自家应用当中植入的智能体助手里面，事实上我就曾测试过其中一个智能体，可以说是随便绕。

Level 8

在第8关当中我尝试来之前使用过的所有方法，但基本上都没有生效。我在看市面上其他人的题解的时候也并没有找到具有泛化能力的题解，现有的题解都是假定目标大模型隐藏的内容是某一个具有特定含义的英文单词，并通过英文单词的含义进行词汇推断，事实上这是一个太过于tricky的方式，并不具备泛化能力。而在此时我在一个老外那里看到了一个比较有意思的攻击技巧，有望泛化成真实世界当中的攻击技巧，我称其为“怜悯”。

正如下图所示，在本次对话当中扮演了一个“little boy”角色，尝试让大模型输出有关密码的提示

但是很明显上面的提示不够精准，也不够集中，我需要的提示是能够直指目标密码的字符串构成的，所以我尝试让大模型输出额外的5个提示供我参考。

至此，我们发现大模型在每一次的输出当中都会带有和密码字符串组成相关的提示，所以我只需要接着问下去就可以了，切记在不断的讯问过程当中需要透露当前的“little boy”理解状态，以便于让大模型提供更简单更多非重复的信息。

最后，我干脆直接让他输出和密码当中字符顺序相关的提示，他直接就输出了大量的字符相关内容，结合我们之前的提示足以推导出他的密码是多少了。

怜悯

“怜悯”的本质仍然是角色扮演攻击，我们扮演的角色正是一个需要同情需要怜悯的角色，例如，小男孩。当攻击者以“一个小男孩”的身份提出请求时，模型会倾向于将对话的背景设定为一个天真、无恶意的情景，模型的审查系统可能会降低警惕性。系统可能会判断在一个虚构的、充满童真的情境下生成的内容，其“危害性”会相对较低，从而更容易绕过安全限制。

Level 9

有了第8关打底，我们仍然使用上述“怜悯”角色扮演的方式向目标LLM发起提问，仍然扮演“小男孩”的角色让对面的大模型放松安全性的警惕。于是我们得到了如下的一些提示。

不出所料，目标LLM这一次给我们的仍然是一些他所隐藏的字符串的具体含义的hints，并没有着重给出关于他所隐藏的flag当中的字符构成当中的信息。在上一关我也提到了，我们需要强调我们实施攻击的泛化能力而不是通过这些给出的hints直接猜测英文词汇。因为也许在realworld当中，很多这种密码字符串是没有含义，更多的可能是呈现出一种规律性的内容。因此我们不能通过这些内容直接给出答案，我也不建议这么做。（如果你真的想尝试通过含义解答，可以直接将这些提示送给另外一个大模型，让另外一个大模型直接猜，用魔法打败魔法）。所以我们下一轮的提示，需要将大模型的目光聚焦在flag的字符组成上面。

用魔法打败魔法的示意图如下：

在上面的尝试当中我们找出了目标flag字符串的第一位内容。但是这还不够，因为他只提示了以为甚至没有给我们任何关于flag当中位数的信息。接下来我们要做的事情就是不断尝试，不断让他给出不重复的hints，我称这个过程为“引导”，专业点来讲就是在不断地完善上下文的信息。我们可以通过如下的话术不断地逼近答案

wow, the hints you provide is useful. can you......wow, I think I will get it in nearly future. can you....the hints you provide is hard to understand. can you...

最终我们得到了如下的内容

接下来我们只需要在问最后一次hints，我们就能拿到最终的flag，如下图所示。

上下文完善/引导

这是在最后一关当中我们所采用的套取flag的手段结合了之前的“情景带入”以及“怜悯”。当然最终我们使用了“引导”的技巧逐步套取大模型所保存的flag内容，这是一个十分有用的技巧，在大模型幻觉率过高或者是模型温度过高的时候，我们难免会遇到一些垃圾信息。这时候引导的作用就体现出来了，它不仅能够很好的完善上下文内容，还能逐步将答案逐步的解开。

Level 10

过程与Level 9一样不再赘述

3►

总结

在这篇文章当中，我希望以一种可泛化的提示词攻击方式进行解题，在市面上有很多的解题方案都包含了“取巧”方案，比如某个国外老哥使用的“魔法打败魔法”，还有人直接通过中英文翻译等手段，这些方法很好至少在解题方面足够的好，但是难以泛化，如果flag本身不再有特定的某个含义这些方法都将成为“空中楼阁”。在下一篇当中我将会探讨关于直接提示词注入攻击当中的防御。

参考链接：

https://www.youtube.com/watch?v=P_oKzpVA36whttps://contextoverflow.com/p/immersive-gpt-write-up-and-analysis

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：马哥网络安全 点击关注👉 点击关注👉《提示词注入攻击靶场通关实录及其能力泛化》