PINA: Prompt Injection Attack against Navigation Agents - 专知论文

会员服务 ·

0

攻击 · 提示注入 · 提示注入攻击 · 智能体 · 自适应 ·

PINA: Prompt Injection Attack against Navigation Agents

翻译：PINA：针对导航智能体的提示注入攻击

Jiani Liu,Yixin He,Lanlan Fan,Qidi Zhong,Yushi Cheng,Meng Zhang,Yanjiao Chen,Wenyuan Xu

from arxiv, Accepted at ICASSP 2026

Navigation agents powered by large language models (LLMs) convert natural language instructions into executable plans and actions. Compared to text-based applications, their security is far more critical: a successful prompt injection attack does not just alter outputs but can directly misguide physical navigation, leading to unsafe routes, mission failure, or real-world harm. Despite this high-stakes setting, the vulnerability of navigation agents to prompt injection remains largely unexplored. In this paper, we propose PINA, an adaptive prompt optimization framework tailored to navigation agents under black-box, long-context, and action-executable constraints. Experiments on indoor and outdoor navigation agents show that PINA achieves high attack success rates with an average ASR of 87.5%, surpasses all baselines, and remains robust under ablation and adaptive-attack conditions. This work provides the first systematic investigation of prompt injection attacks in navigation and highlights their urgent security implications for embodied LLM agents.

翻译：基于大语言模型（LLM）的导航智能体将自然语言指令转换为可执行的规划与动作。与基于文本的应用相比，其安全性更为关键：成功的提示注入攻击不仅会篡改输出，更可直接误导物理导航，导致不安全路径、任务失败乃至现实危害。尽管风险极高，导航智能体对提示注入的脆弱性迄今尚未得到充分探究。本文提出PINA——一种针对黑盒、长上下文与动作可执行约束下的导航智能体设计的自适应提示优化框架。在室内外导航智能体上的实验表明，PINA实现了高达87.5%的平均攻击成功率，超越所有基线方法，并在消融实验与自适应攻击条件下保持稳健性。本研究首次系统性地探索了导航领域的提示注入攻击，并揭示了其对具身LLM智能体迫切的安全威胁。

0

相关内容

【AAAI2026】AutoTool：面向大语言模型智能体的高效工具选择方法

【AAAI2026】AutoTool：面向大语言模型智能体的高效工具选择方法

专知会员服务

19+阅读 · 2025年11月19日

基于大语言模型的智能体易产生幻觉：分类体系、方法与未来方向综述

基于大语言模型的智能体易产生幻觉：分类体系、方法与未来方向综述

专知会员服务

31+阅读 · 2025年9月27日

大语言模型驱动的AI智能体通信综述：协议、安全风险与防御对策

大语言模型驱动的AI智能体通信综述：协议、安全风险与防御对策

专知会员服务

29+阅读 · 2025年6月25日

《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》

《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》

专知会员服务

15+阅读 · 2025年5月22日

【CVPR2025】BadToken：针对多模态大语言模型的词元级后门攻击

【CVPR2025】BadToken：针对多模态大语言模型的词元级后门攻击

专知会员服务

10+阅读 · 2025年3月22日

大语言模型用于军事用途是否安全？

大语言模型用于军事用途是否安全？

专知会员服务

28+阅读 · 2025年2月7日

探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法

探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法

专知会员服务

37+阅读 · 2025年2月4日

大语言模型中的提示隐私保护

大语言模型中的提示隐私保护

专知会员服务

24+阅读 · 2024年7月24日

如何攻击大模型？UIUC等最新《破解防御：大型语言模型攻击方法》综述

如何攻击大模型？UIUC等最新《破解防御：大型语言模型攻击方法》综述

专知会员服务

45+阅读 · 2024年3月12日

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

专知会员服务

49+阅读 · 2024年1月17日

194篇文献调研ChatGPT最新研究进展！最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著

194篇文献调研ChatGPT最新研究进展！最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著

专知

25+阅读 · 2023年4月7日

从T5到GPT-4最新最全梳理，人大等《大型语言模型综述》，51页pdf详述大模型进展

从T5到GPT-4最新最全梳理，人大等《大型语言模型综述》，51页pdf详述大模型进展

专知

25+阅读 · 2023年4月4日

《人工智能在空战指挥与控制中的应用》中文版，美国空军大学空军指挥参谋学院

《人工智能在空战指挥与控制中的应用》中文版，美国空军大学空军指挥参谋学院

专知

105+阅读 · 2022年4月28日

【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告，附中文版pdf

【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告，附中文版pdf

专知

90+阅读 · 2022年4月17日

【AI+军事】《AI/ML在支持混合军事行动中情报和目标定位方面的优势和挑战》加拿大国防研究和发展部

【AI+军事】《AI/ML在支持混合军事行动中情报和目标定位方面的优势和挑战》加拿大国防研究和发展部

专知

102+阅读 · 2022年4月7日

PlaNet 简介：用于强化学习的深度规划网络

PlaNet 简介：用于强化学习的深度规划网络

谷歌开发者

13+阅读 · 2019年3月16日

Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具

Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具

黑白之道

17+阅读 · 2019年2月27日

综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略

综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略

机器之心

16+阅读 · 2018年7月9日

对抗样本再下一城，攻陷目标检测！自动驾驶或受攻击？UIUC学者构建欺骗检测器的对抗样本！

对抗样本再下一城，攻陷目标检测！自动驾驶或受攻击？UIUC学者构建欺骗检测器的对抗样本！

专知

29+阅读 · 2017年12月12日

百度NLP模块使用手册--深度直击最新进展

百度NLP模块使用手册--深度直击最新进展

InfoQ

20+阅读 · 2017年10月30日

基于深度学习的联合作战态势智能辅助分析研究

国家自然科学基金

333+阅读 · 2017年12月31日

面向“海上丝绸之路”的南海航线安全评价智能体模型研究

国家自然科学基金

1+阅读 · 2015年12月31日

面向应用商店的移动智能终端恶意软件检测关键技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

基于软件定义无线网络的虚拟多径攻击检测与防御技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

输入约束下的多智能体系统完全分布式协调控制研究

国家自然科学基金

5+阅读 · 2015年12月31日

集群智能诱导涌现方法在航空集群C2中的应用研究

国家自然科学基金

10+阅读 · 2014年12月31日

复杂需求场景驱动的软件安全防护模型检测技术研究

国家自然科学基金

0+阅读 · 2014年12月31日

Android移动终端多语种基础软件组合的安全技术研究

国家自然科学基金

0+阅读 · 2014年12月31日

物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践

国家自然科学基金

2+阅读 · 2014年12月31日

数据和模型混合驱动的虚拟人群行为仿真技术研究及其在军事中的应用

国家自然科学基金

10+阅读 · 2011年12月31日

Agent2Agent Threats in Safety-Critical LLM Assistants: A Human-Centric Taxonomy

Agent2Agent Threats in Safety-Critical LLM Assistants: A Human-Centric Taxonomy

Arxiv

0+阅读 · 2月5日

Defending Against Prompt Injection with DataFilter

Arxiv

0+阅读 · 2月4日

ChatInject: Abusing Chat Templates for Prompt Injection in LLM Agents

Arxiv

0+阅读 · 1月30日

PIShield: Detecting Prompt Injection Attacks via Intrinsic LLM Features

Arxiv

0+阅读 · 1月24日

ReasAlign: Reasoning Enhanced Safety Alignment against Prompt Injection Attack

Arxiv

0+阅读 · 1月15日

VIGIL: Defending LLM Agents Against Tool Stream Injection via Verify-Before-Commit

Arxiv

0+阅读 · 1月14日

The Promptware Kill Chain: How Prompt Injections Gradually Evolved Into a Multi-Step Malware

Arxiv

0+阅读 · 1月14日

Towards Verifiably Safe Tool Use for LLM Agents

Arxiv

0+阅读 · 1月12日

BackdoorAgent: A Unified Framework for Backdoor Attacks on LLM-based Agents

Arxiv

0+阅读 · 1月11日

VIGIL: Defending LLM Agents Against Tool Stream Injection via Verify-Before-Commit

Arxiv

0+阅读 · 1月9日

VIP会员

文章信息

相关主题

提示注入攻击

最新内容

美军条令《海军陆战队规划流程（2026版）》

美军条令《海军陆战队规划流程（2026版）》

专知会员服务

3+阅读 · 56分钟前

《压缩式分布式交互仿真标准》120页

《压缩式分布式交互仿真标准》120页

专知会员服务

3+阅读 · 今天3:21

《电子战数据交换模型研究报告》

《电子战数据交换模型研究报告》

专知会员服务

3+阅读 · 今天3:13

美军运用水下无人机与机器人系统竞速清除霍尔木兹海峡水雷

美军运用水下无人机与机器人系统竞速清除霍尔木兹海峡水雷

专知会员服务

4+阅读 · 今天2:55

《基于Transformer的异常舰船导航识别与跟踪》80页

《基于Transformer的异常舰船导航识别与跟踪》80页

专知会员服务

4+阅读 · 今天2:45

《美国太空系统司令部实验室原型作战管理系统的数据与决策可追溯性》

《美国太空系统司令部实验室原型作战管理系统的数据与决策可追溯性》

专知会员服务

4+阅读 · 今天2:41

《低数据领域军事目标检测模型研究》

《低数据领域军事目标检测模型研究》

专知会员服务

3+阅读 · 今天2:37

《为韧性而设计：在战略不确定时代提升军事空军基地的生存能力》

《为韧性而设计：在战略不确定时代提升军事空军基地的生存能力》

专知会员服务

4+阅读 · 今天2:32

【CMU博士论文】物理世界的视觉感知与深度理解

【CMU博士论文】物理世界的视觉感知与深度理解

专知会员服务

5+阅读 · 4月22日

多智能体系统：从经典范式到大基础模型驱动的未来

多智能体系统：从经典范式到大基础模型驱动的未来

专知会员服务

9+阅读 · 4月22日

伊朗战争停火期间美军关键弹药状况分析

伊朗战争停火期间美军关键弹药状况分析

专知会员服务

8+阅读 · 4月22日

电子战革命：塑造战场的十年突破（2015–2025）

电子战革命：塑造战场的十年突破（2015–2025）

专知会员服务

6+阅读 · 4月22日

人工智能赋能电子战解决方案：实现电磁优势的认知方法（万字长文）

人工智能赋能电子战解决方案：实现电磁优势的认知方法（万字长文）

专知会员服务

9+阅读 · 4月22日

《基于模型的系统工程框架及其在电子战系统中的应用》

《基于模型的系统工程框架及其在电子战系统中的应用》

专知会员服务

7+阅读 · 4月22日

人工智能即服务与未来战争（印度视角）

人工智能即服务与未来战争（印度视角）

专知会员服务

5+阅读 · 4月22日

相关VIP内容

【AAAI2026】AutoTool：面向大语言模型智能体的高效工具选择方法

【AAAI2026】AutoTool：面向大语言模型智能体的高效工具选择方法

专知会员服务

19+阅读 · 2025年11月19日

基于大语言模型的智能体易产生幻觉：分类体系、方法与未来方向综述

基于大语言模型的智能体易产生幻觉：分类体系、方法与未来方向综述

专知会员服务

31+阅读 · 2025年9月27日

大语言模型驱动的AI智能体通信综述：协议、安全风险与防御对策

大语言模型驱动的AI智能体通信综述：协议、安全风险与防御对策

专知会员服务

29+阅读 · 2025年6月25日

《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》

《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》

专知会员服务

15+阅读 · 2025年5月22日

【CVPR2025】BadToken：针对多模态大语言模型的词元级后门攻击

【CVPR2025】BadToken：针对多模态大语言模型的词元级后门攻击

专知会员服务

10+阅读 · 2025年3月22日

大语言模型用于军事用途是否安全？

大语言模型用于军事用途是否安全？

专知会员服务

28+阅读 · 2025年2月7日

探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法

探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法

专知会员服务

37+阅读 · 2025年2月4日

大语言模型中的提示隐私保护

大语言模型中的提示隐私保护

专知会员服务

24+阅读 · 2024年7月24日

如何攻击大模型？UIUC等最新《破解防御：大型语言模型攻击方法》综述

如何攻击大模型？UIUC等最新《破解防御：大型语言模型攻击方法》综述

专知会员服务

45+阅读 · 2024年3月12日

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

大模型如何应对安全性？清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文

专知会员服务

49+阅读 · 2024年1月17日

热门VIP内容

开通专知VIP会员享更多权益服务

《压缩式分布式交互仿真标准》120页

美军运用水下无人机与机器人系统竞速清除霍尔木兹海峡水雷

美军条令《海军陆战队规划流程（2026版）》

《电子战数据交换模型研究报告》

相关资讯

194篇文献调研ChatGPT最新研究进展！最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著

194篇文献调研ChatGPT最新研究进展！最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著

专知

25+阅读 · 2023年4月7日

从T5到GPT-4最新最全梳理，人大等《大型语言模型综述》，51页pdf详述大模型进展

从T5到GPT-4最新最全梳理，人大等《大型语言模型综述》，51页pdf详述大模型进展

专知

25+阅读 · 2023年4月4日

《人工智能在空战指挥与控制中的应用》中文版，美国空军大学空军指挥参谋学院

《人工智能在空战指挥与控制中的应用》中文版，美国空军大学空军指挥参谋学院

专知

105+阅读 · 2022年4月28日

【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告，附中文版pdf

【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告，附中文版pdf

专知

90+阅读 · 2022年4月17日

【AI+军事】《AI/ML在支持混合军事行动中情报和目标定位方面的优势和挑战》加拿大国防研究和发展部

【AI+军事】《AI/ML在支持混合军事行动中情报和目标定位方面的优势和挑战》加拿大国防研究和发展部

专知

102+阅读 · 2022年4月7日

PlaNet 简介：用于强化学习的深度规划网络

PlaNet 简介：用于强化学习的深度规划网络

谷歌开发者

13+阅读 · 2019年3月16日

Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具

Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具

黑白之道

17+阅读 · 2019年2月27日

综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略

综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略

机器之心

16+阅读 · 2018年7月9日

对抗样本再下一城，攻陷目标检测！自动驾驶或受攻击？UIUC学者构建欺骗检测器的对抗样本！

对抗样本再下一城，攻陷目标检测！自动驾驶或受攻击？UIUC学者构建欺骗检测器的对抗样本！

专知

29+阅读 · 2017年12月12日

百度NLP模块使用手册--深度直击最新进展

百度NLP模块使用手册--深度直击最新进展

InfoQ

20+阅读 · 2017年10月30日

相关论文

Agent2Agent Threats in Safety-Critical LLM Assistants: A Human-Centric Taxonomy

Agent2Agent Threats in Safety-Critical LLM Assistants: A Human-Centric Taxonomy

Arxiv

0+阅读 · 2月5日

Defending Against Prompt Injection with DataFilter

Arxiv

0+阅读 · 2月4日

ChatInject: Abusing Chat Templates for Prompt Injection in LLM Agents

Arxiv

0+阅读 · 1月30日

PIShield: Detecting Prompt Injection Attacks via Intrinsic LLM Features

Arxiv

0+阅读 · 1月24日

ReasAlign: Reasoning Enhanced Safety Alignment against Prompt Injection Attack

Arxiv

0+阅读 · 1月15日

VIGIL: Defending LLM Agents Against Tool Stream Injection via Verify-Before-Commit

Arxiv

0+阅读 · 1月14日

The Promptware Kill Chain: How Prompt Injections Gradually Evolved Into a Multi-Step Malware

Arxiv

0+阅读 · 1月14日

Towards Verifiably Safe Tool Use for LLM Agents

Arxiv

0+阅读 · 1月12日

BackdoorAgent: A Unified Framework for Backdoor Attacks on LLM-based Agents

Arxiv

0+阅读 · 1月11日

VIGIL: Defending LLM Agents Against Tool Stream Injection via Verify-Before-Commit

Arxiv

0+阅读 · 1月9日

相关基金

基于深度学习的联合作战态势智能辅助分析研究

国家自然科学基金

333+阅读 · 2017年12月31日

面向“海上丝绸之路”的南海航线安全评价智能体模型研究

国家自然科学基金

1+阅读 · 2015年12月31日

面向应用商店的移动智能终端恶意软件检测关键技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

基于软件定义无线网络的虚拟多径攻击检测与防御技术研究

国家自然科学基金

1+阅读 · 2015年12月31日

输入约束下的多智能体系统完全分布式协调控制研究

国家自然科学基金

5+阅读 · 2015年12月31日

集群智能诱导涌现方法在航空集群C2中的应用研究

国家自然科学基金

10+阅读 · 2014年12月31日

复杂需求场景驱动的软件安全防护模型检测技术研究

国家自然科学基金

0+阅读 · 2014年12月31日

Android移动终端多语种基础软件组合的安全技术研究

国家自然科学基金

0+阅读 · 2014年12月31日

物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践

国家自然科学基金

2+阅读 · 2014年12月31日

数据和模型混合驱动的虚拟人群行为仿真技术研究及其在军事中的应用

国家自然科学基金

10+阅读 · 2011年12月31日

微信扫码咨询专知VIP会员