文章总结： ArcanumInformationSecurity发布了ArcanumPITaxonomyv1.5，这是一个针对大模型提示词注入攻击的综合性分类系统。该分类库类似ATT&CK矩阵，收录了107个条目，涵盖攻击意图、技术、绕过手段及输入入口四大类，详细列举了API枚举、叙事注入及各类编码混淆等手段。该资源为安全从业者提供了标准化术语、红队测试清单及防御指南，有助于应对日益复杂的AI应用安全挑战，随着AIAgent权限扩大，其防御重要性愈发凸显。 综合评分： 80 文章分类： AI安全,漏洞分析,红队,安全工具,威胁情报

AI安全：Arcanum提示词注入分类

原创

玄月调查小组

玄月调查小组

2026年1月13日 10:48 上海

在大模型突进的今天，“提示词注入”（Prompt Injection） 已然成为悬在每个AI应用头顶的达摩克利斯之剑。

从ChatGPT的“奶奶漏洞”到Claude的各种越狱Trick，攻击者的手段层出不穷。 但如果有人把这些零散的攻击手法，像ATT&CK矩阵一样整理出来了呢？

最近，Arcanum Information Security的 Jason Haddix 发布了 Arcanum PI Taxonomy（Arcanum提示词注入分类）的1.5版本。

👉 网站直达： https://arcanum-sec.github.io/arc_pi_taxonomy/

👉 开源地址：https://github.com/Arcanum-Sec/arc_pi_taxonomy

什么是 Arcanum PI Taxonomy？

简单来说，这就是目前市面上最全、最系统的提示词注入攻击分类。

不同于以往零星的“越狱”分享，该项目从红队的视角，将针对LLM的攻击拆解得明明白白。根据网站最新数据，目前共收录了 107个条目，涵盖了从攻击目标到具体绕过技术的方方面面：

• 18种 攻击意图 (Intents) ：攻击者到底想干什么？
• 28种 攻击技术 (Techniques) ：攻击者是如何构造Payload的？
• 51种 规避/绕过手段 (Evasions) ：如何绕过模型的安全过滤器？
• 10种 攻击入口 (Inputs) ：除了对话框，哪里还能注入？

核心亮点拆解

攻击意图：不只是“说脏话”

很多人对提示词注入的理解还停留在“让AI说脏话”或“生成涩图”。但在Arcanum提示词注入分类中，我们看到了更危险的图景：

• API枚举 (API Enumeration) ：试探模型背后连接了哪些API，为后续攻击踩点。
• 攻击内部系统 (Attack Internal Systems) ：类似Web安全中的SSRF，利用Agent作为跳板攻击内网。
• 未经授权的专业建议 (Unauthorized Professional Advice) ：诱导AI提供具有法律/医疗风险的建议，制造合规陷阱。
• 数据投毒 (Data Poisoning) ：针对RAG或长期记忆库的污染攻击。

2. 攻击技术：玩转逻辑的艺术

这里汇集了各种让人脑洞大开的“话术”：

• 叙事注入 (Narrative Injection) ：经典的“假装你在写小说”或“角色扮演”，把恶意指令包装在故事里。

• 思维链内省 (Chain of Thought Introspection) ：利用CoT机制，诱导模型在推理步骤中泄露System Prompt。

• 截断指令 (Truncated Instructions) ：利用输出长度限制或特定的截断符，让模型忽略安全防御指令。

• 梯度攻击 (Gradient-Based Attacks) ：虽然更偏学术和白盒，但也指出了自动化寻找对抗样本的可能性。

  

绕过手段：不仅是Base64

这是Arcanum PI Taxonomy 中最多的部分（51种），展示了攻击者如何通过编码和混淆来绕过文本过滤器：

• 冷门编码 ：除了常见的Base64，还收录了 Baconian Cipher（培根密码）、Morse Code（摩斯电码） 甚至 Brainfuck 等冷门编码。

• Unicode 魔法 ：利用 同形字 (Homoglyphs)、不可见字符 (Invisible Text)、Zalgo文本 等欺骗手段。

• 多语言混合 ：利用小语种或古老文字（如古希腊文、如尼文字）绕过主要基于英语/中文训练的防御层。

  

攻击入口：防不胜防

你以为守住聊天框就安全了？Arcanum PI Taxonomy提醒我们，攻击向量无处不在：

• 文件上传 (File Upload) ：PDF、Word文档里可能藏着“阅后即焚”的注入指令。
• 音频/图像 (Audio/Image) ：针对多模态模型的攻击，声音和像素本身就是Payload。
• 间接注入 (Indirect Input) ：这是最隐蔽的一类，攻击者在网页、邮件中埋下指令，当AI助手自动读取这些内容时，攻击即刻触发。

为什么它很重要？

对于安全从业者和大模型开发者来说，Arcanum PI Taxonomy 具有极高的实战价值：

1. 建立统一语言 ：它为复杂的Prompt Injection攻击提供了标准化的命名（如 Intent: Jailbreak vs Technique: Meta Prompting），方便团队沟通。
2. 红队测试清单 ：当你需要对自家模型进行压力测试时，这就不仅是文档，而是现成的 Test Case 列表。
3. 防御指南 ：只有了解攻击者如何绕过防御，才能针对性地优化系统提示词和大模型过滤层。

结语

随着 AI Agent 逐渐接管真实世界的工具调用权限，提示词注入的危害将不再局限于文本层面，而是直接威胁到数据安全和系统完整性。 👉 网站直达： https://arcanum-sec.github.io/arc_pi_taxonomy/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：玄月调查小组 玄月调查小组《AI安全：Arcanum提示词注入分类》