文章总结： LLM推理服务因具备工具调用与数据访问能力，正成为RCE及数据泄露的新入口。攻击者利用PromptInjection诱导模型执行恶意操作，传统防御难以应对。建议将其视为高权限核心系统，严格限制工具权限、解耦数据并加强行为监控。 综合评分： 85 文章分类： AI安全,数据安全,Web安全,安全建设

从 RCE 到数据泄露：LLM 推理服务正在成为新的攻击入口

云梦DC

云梦安全

2025年12月25日 08:47 河南

一、为什么 LLM 推理服务正在被攻击者盯上？

过去几年，攻击者的主要目标始终集中在三类系统上：

• Web 应用
• API 服务
• 云原生基础设施

而在 2024–2025 年，一个新的目标正在快速浮现：

直接暴露在公网的 LLM 推理服务

这些服务包括但不限于：

• 自建大模型推理 API
• 企业内部 AI 助手 / Copilot
• 基于开源模型（LLaMA、Qwen、Mistral 等）的推理节点
• 提供“AI 能力”的中台或微服务

在很多组织中，它们被视为“工具服务”而非“核心系统”，从而绕过了成熟的安全审计与防护体系。

二、一个危险的误判：LLM ≠ 普通应用

#

很多团队默认认为：

• LLM 只是“文本生成”
• Prompt 只是“输入参数”
• 模型“不会执行代码”

但现实中的 LLM 推理服务，几乎从来不是“纯模型”。

一个典型的 LLM 服务通常包含：

• Prompt 解析逻辑
• 工具调用（Tools / Functions）
• 插件系统
• 文件读写能力
• 内部 API / 数据库访问
• 运维或调试接口

模型只是最外层。真正的风险，来自模型背后的执行环境。

三、从 Prompt 到 RCE：真实存在的攻击路径

1️⃣ Prompt Injection ≠ 只是“胡说八道”

在大量真实案例中，Prompt Injection 已经不再停留在：

“让模型说不该说的话”

而是被用于：

• 绕过业务限制
• 触发工具调用
• 改写系统 Prompt
• 影响后端执行逻辑

当 LLM 被赋予以下能力之一时，风险会指数级上升：

• 执行系统命令
• 调用内部 HTTP API
• 访问文件系统
• 操作数据库

2️⃣ 工具调用是最危险的放大器

当前主流 LLM 服务几乎都支持：

• Function Calling
• Tool Invocation
• Agent 模式

在实际落地中，我们看到大量系统存在以下问题：

• 工具权限过大
• 工具参数缺乏校验
• 模型输出被直接当作“可信输入”

攻击者并不需要直接 RCE，只需要“诱导模型帮他调用工具”。

这条链路一旦成立，后果包括：

• 服务器命令执行
• 内网服务探测
• 敏感配置文件读取
• 数据库数据泄露

四、比 RCE 更现实的问题：数据泄露

在真实环境中，数据泄露比 RCE 更常见，也更隐蔽。

常见高风险场景

1. 模型被授权访问内部文档

• Wiki
• 工单系统
• CRM / ERP 数据

1. Prompt 中拼接了真实业务数据

• 用户信息
• 订单详情
• 内部策略或密钥片段

1. 日志与上下文未做隔离

• 多租户模型
• 会话复用
• 上下文污染

攻击者只需要构造合理对话，即可逐步“诱导”模型泄露本不该暴露的数据。

五、为什么传统安全手段在这里失效？

1️⃣ WAF 看不懂 Prompt

• Prompt 本质是自然语言
• 攻击载荷不再是固定 payload
• 同一攻击可以有无数变体

2️⃣ 权限边界被“语言”模糊化

在传统系统中：

• API 有明确鉴权
• 功能有清晰边界

但在 LLM 系统中：

“你可以帮我查一下吗？” 可能等价于一个高权限接口调用。

3️⃣ 审计与溯源极其困难

• 模型输出不可预测
• 同样的输入不一定产生同样的结果
• 很难复盘“模型为什么这么做”

六、LLM 推理服务的真实风险等级判断

我们在研究中倾向于这样判断：

LLM 推理服务，本质上已经是“高权限后端服务” 但多数系统并未按这个等级来保护它。

尤其是在以下场景中，风险极高：

• LLM 能访问内网资源
• LLM 具备工具调用能力
• LLM 被直接暴露在公网
• 缺乏最小权限与审计机制

七、防御建议：别再把 LLM 当“聊天机器人”

1️⃣ 重新定义安全边界

• 把 LLM 服务当作后端核心系统
• 明确其权限与访问范围

2️⃣ 严格限制工具能力

• 工具最小权限
• 参数白名单
• 强制校验模型输出

3️⃣ Prompt 与数据解耦

• 避免拼接真实敏感数据
• 引入上下文隔离机制

4️⃣ 增加行为级监控

• 监控异常工具调用
• 识别非预期访问模式

八、结语：这是下一个“默认不安全”的时代

Web 时代我们花了十几年才接受一个事实：

“默认安全”是不存在的

而在 LLM 时代，这个教训正在被重新演绎。

从 RCE 到数据泄露， LLM 推理服务正在成为一个新的、高价值攻击入口。

如果今天不重新审视它的安全模型， 明天它就会成为整个系统中最薄弱的一环。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：云梦安全 云梦DC《从 RCE 到数据泄露：LLM 推理服务正在成为新的攻击入口》