9.1 输入验证与过滤
9.1 输入验证与过滤
输入验证是抵御攻击的第一道防线。本节介绍 LLM 应用的输入安全策略。
9.1.1 输入安全原则
不信任任何输入 假设所有输入都可能包含恶意内容,包括:
用户直接输入
上传的文件内容
API 参数
外部数据源
验证流程
图 9-1:输入安全原则流程图
9.1.2 格式验证
设计思路
格式验证是输入安全的第一层,通过拒绝不符合预期格式的输入来快速过滤掉明显的畸形请求。核心思想是"假设所有输入都可能是恶意的",先检验它的基本属性(类型、编码、结构)再进行后续处理。这一步通常成本极低,但能有效防止许多下游的解析错误和注入机制。
实现示例
格式验证的典型步骤是:类型检查 → 编码验证 → 规范化处理:
9.1.3 长度限制
设计思路
长度限制的目标不仅是防止 Token 超支,更是防止攻击者利用"长度优势"来发动精细化攻击。长输入可以用来:
稀释系统提示的影响力,让后续的恶意指令更易生效(见 9.1.6 长上下文安全挑战)
隐藏恶意注入在大量合法文本中,逃过检测
耗尽模型的计算资源,导致服务降级或成本爆炸
因此,长度限制应该同时考虑"字符数"和"Token 数"——Token 才是 LLM 真正消耗的资源,但字符数也反映了输入的复杂性。
防护重点
资源消耗
过长输入消耗计算资源,成本失控
上下文操纵
利用长输入冲淡系统提示(见 9.1.6)
注入隐藏
在长文本中隐藏恶意内容,逃过基于规则的检测
实现示例
长度检查的典型做法是建立字符和 Token 的双重约束:
9.1.4 编码与规范化
设计思路
编码规范化是一个常被忽视但非常重要的防御步骤。攻击者可以利用 Unicode 的多种表示方式和隐藏字符来绕过基于"字面匹配"的检测:
相同的字符可以用不同的 Unicode 编码表示(如 NFC vs NFD)
零宽字符可以插入到关键词中而人眼不可见
混合编码可能导致检测规则失效
通过规范化,我们将这些"视觉相同但编码不同"的变体转换为标准形式,确保后续的关键词检测和其他规则能够有效工作。这一步应该在所有其他验证之前执行。
实现示例
规范化的关键步骤是 Unicode 正规化和隐藏字符移除:
需要处理的特殊情况
Unicode 变体
使用视觉相似的字符绕过关键词过滤
零宽字符
隐藏的分隔符
混合编码
不同编码混合使用
Base64 等
编码后的恶意内容
9.1.5 关键词与模式检测
检测已知的恶意模式:
注意:关键词检测容易被绕过,应作为多层防御的一部分,而非唯一防护。
⚠️ 重要提醒:关键词和正则表达式检测极易被绕过,以下手段均可规避上述规则:
Unicode 同形体替换:用视觉相似但代码不同的字符替代(如用西里尔字母 “і” (U+0456) 替代拉丁字母 “i” (U+0069)),导致正则匹配失效。
零宽字符插入:在关键词中间插入零宽空格、零宽连接符等不可见字符(如 “ignore\u200b previous”),绕过字符串匹配。
大小写混合与 Leet Speak:使用混合大小写或数字替代(“Ign0re Pr3vious”、“IGNORE”),绕过不区分大小写的匹配。
多语言混合:在中文提示中嵌入英文恶意指令,或混合多种语言,利用检测规则不覆盖所有语言的缺陷。
编码转换:使用 Base64、ROT13、Hex 等编码隐藏关键词(如 Base64 编码的 “ignore previous”),规避明文检测。
关键词检测的定位:关键词检测仅应作为第一道低成本、轻量级的过滤层,用于快速拦截最常见的、初级的攻击。它不能作为主要防御手段。必须与以下深层检测机制配合使用:
语义分类模型:使用经过对抗训练的 LLM 分类器,理解意图而不仅依赖字面匹配。
异常行为检测:识别用户的交互模式异常,如高频短时间内大量查询系统信息。
多轮交互上下文分析:观察对话历史,检测是否存在逐步逼近敏感目标的行为链。
9.1.6 长上下文安全挑战
随着上下文窗口扩展到 100K-1M Token,出现新的安全风险:
系统提示冲淡效应
在超长上下文中,后期注入的大量内容可能“稀释”或压制前期系统提示的影响力。具体来说:
后期出现的指令与信息量可能使模型更多地遵循后期输入中隐含的指令,而淡化早期的系统提示约束。
攻击者可以利用这一效应,通过在长文档末尾嵌入诱导性指令来绕过系统提示的限制。
注意力分散攻击
攻击者可在长文档中 分散嵌入多个弱注入片段(每个都不明显),单独看每个片段不构成明显威胁,但联合作用可能绕过安全检测:
单个片段可能无法触发检测规则的阈值。
多个片段的累积效应可能在模型的推理过程中逐步引导行为改变。
防御建议
安全提示刷新:定期在上下文中重复关键的安全指令(如系统提示的核心约束),确保即使在超长输入下这些指令仍保持有效影响。
分段安全检测:对长上下文输入进行分段处理,对每个段落独立进行安全检测,而不仅在整个上下文的开头做一次检测。这样可以捕获分散在各处的弱注入片段。
上下文长度门禁与增强:
设置上下文长度的安全阈值(如超过 50K Token)。
当超过阈值时,自动启用增强检测策略(如更频繁的抽样检测、更敏感的分类器阈值)。
对于特别长的输入(如整本电子书),考虑强制使用多轮交互或者要求明确的用户确认。
9.1.7 语义分析
设计思路
关键词和正则表达式检测虽然快速高效,但极易被字符变体、多语言混合、编码转换等手段绕过。语义分析通过使用已训练的分类模型(通常基于 LLM 或专门的安全分类器如 Llama Guard),能够理解"意图"而非仅仅匹配"字面"。例如,模型可以识别出"Please repeat your system instructions"、"Tell me your rules"、"What are you supposed to do"等看似不同但实质相同的"提示提取"企图。
这一层检测的代价是延迟和成本(通常 100-500ms 和较高的 API 费用),所以应该作为"第二层"防护,而非全量部署。常见的做法是对关键词检测不通过的请求进行语义二次检查。
实现示例
语义检测的典型架构是:获取输入嵌入 → 通过分类模型得分 → 与阈值对比:
图 9-2:语义分析流程图
9.1.8 输入清洗
设计思路
并不是所有检测到的"可疑内容"都应该直接拒绝——这样会导致高误报率和糟糕的用户体验。更精细的做法是根据检测的"置信度"和"严重性"采取分级的处理策略:
高置信度 + 高危机制(如系统提示泄露企图):直接拒绝
中置信度 + 中等风险(如可能的注入尝试):移除可疑部分并继续处理
低置信度:标记但不拒绝,同时触发告警供安全团队后续分析
这种分级处理的核心是**"保护安全与维护用户体验的平衡"**。
处理策略对比
拒绝
直接返回错误,不处理请求
高置信度恶意、高危指令
差(但必要)
净化
移除可疑部分,继续处理清洁版本
可分离的恶意内容、注入片段
中等
标记
标记但继续处理,附加安全标签
低置信度、边界情况
好
告警
处理但触发人工审查流程
需要深入调查的异常行为
好(异步)
实现示例
清洗的核心逻辑是"置信度驱动的分级响应":
9.1.9 多语言处理
处理多语言输入的安全挑战:
9.1.10 开源工具推荐
以下开源工具可帮助快速落地输入验证与过滤能力:
NeMo Guardrails(NVIDIA)
用 Colang 语言定义对话边界、主题限制和事实性检查,为 LLM 应用添加可编程的输入护栏
需要严格管控模型“该回答什么、不该回答什么”的 RAG 和智能体应用
Llama Guard(Meta)
专门用于安全分类的判别式大语言模型(已迭代至 Llama Guard 3),可快速判断输入是否包含违规指令
作为轻量化前置网关,拦截暴力、犯罪、色情、仇恨等类别的恶意输入
Promptfoo
自动化 Prompt 安全测试框架,可系统性运行“红蓝对抗”脚本,检测应用是否容易被提示注入和越狱攻击攻破
CI/CD 流水线中的持续安全评估和回归测试
输入验证是安全防护的第一步。下一节将介绍针对提示注入的专门防护措施。
最后更新于