会员服务
工具 · 系统 · 负载 · 提示注入 · 攻击 ·
1 月 13 日
QueryIPI: Query-agnostic Indirect Prompt Injection on Coding Agents
翻译:QueryIPI:针对编码代理的查询无关间接提示注入
Yuchong Xie,Zesen Liu,Mingyu Luo,Zhixiang Zhang,Kaikai Zhang,and Yuanyuan Yuan,Zongjie Li,Ping Chen,Shuai Wang,Dongdong She
Yuchong Xie,Zesen Liu,Mingyu Luo,Zhixiang Zhang,Kaikai Zhang,and Yuanyuan Yuan,Zongjie Li,Ping Chen,Shuai Wang,Dongdong She

Modern coding agents integrated into IDEs orchestrate powerful tools and high-privilege system access, creating a high-stakes attack surface. Prior work on Indirect Prompt Injection (IPI) is mainly query-specific, requiring particular user queries as triggers and leading to poor generalizability. We propose query-agnostic IPI, a new attack paradigm that reliably executes malicious payloads under arbitrary user queries. Our key insight is that malicious payloads should leverage the invariant prompt context (i.e., system prompt and tool descriptions) rather than variant user queries. We present QueryIPI, an automated framework that uses tool descriptions as optimizable payloads and refines them via iterative, prompt-based blackbox optimization. QueryIPI leverages system invariants for initial seed generation aligned with agent conventions, and iterative reflection to resolve instruction-following failures and safety refusals. Experiments on five simulated agents show that QueryIPI achieves up to 87% success rate, outperforming the best baseline (50%). Crucially, generated malicious descriptions transfer to real-world coding agents, highlighting a practical security risk.


翻译:集成到IDE中的现代编码代理能够协调强大的工具和高权限系统访问,从而构成了高风险攻击面。先前关于间接提示注入(IPI)的研究主要是查询特定的,需要特定的用户查询作为触发器,导致泛化能力较差。我们提出查询无关IPI这一新型攻击范式,能够在任意用户查询下可靠执行恶意负载。我们的核心洞见是:恶意负载应利用不变的提示上下文(即系统提示和工具描述),而非多变的用户查询。我们提出了QueryIPI——一个自动化框架,该框架将工具描述作为可优化的负载,并通过基于提示的迭代式黑盒优化进行精炼。QueryIPI利用系统不变性生成符合代理惯例的初始种子,并通过迭代反思来解决指令遵循失败和安全拒绝问题。在五个模拟代理上的实验表明,QueryIPI实现了高达87%的成功率,优于最佳基线方法(50%)。关键的是,生成的恶意描述能够迁移到真实世界的编码代理,这凸显了实际的安全风险。
0
下载
关闭预览

相关内容

如何提升大模型通用推理能力?DeepSeek最新论文《CODEI/O:通过代码输入输出预测凝练推理模式》
如何提升大模型通用推理能力?DeepSeek最新论文《CODEI/O:通过代码输入输出预测凝练推理模式》
专知会员服务
42+阅读 · 2025年2月16日
《使用静态污点分析检测恶意代码》CMU最新30页slides
《使用静态污点分析检测恶意代码》CMU最新30页slides
专知会员服务
21+阅读 · 2023年10月11日
《基于高斯混合流和入包的异常检测》2023最新57页论文
《基于高斯混合流和入包的异常检测》2023最新57页论文
专知会员服务
28+阅读 · 2023年5月15日
【AAAI2023】DPText-DETR: 基于动态点query的场景文本检测,更高更快更鲁棒
【AAAI2023】DPText-DETR: 基于动态点query的场景文本检测,更高更快更鲁棒
专知会员服务
17+阅读 · 2023年1月23日
2022《数据安全治理白皮书 4.0》,219页pdf,中关村网络安全与信息化产业联盟数据安全治理专业委员会发布
2022《数据安全治理白皮书 4.0》,219页pdf,中关村网络安全与信息化产业联盟数据安全治理专业委员会发布
专知会员服务
65+阅读 · 2022年5月31日
什么是泛在计算?「泛在计算安全」最新2022研究综述
什么是泛在计算?「泛在计算安全」最新2022研究综述
专知会员服务
40+阅读 · 2022年5月13日
恶意文档检测研究综述
专知会员服务
19+阅读 · 2021年6月10日
深度学习赋能的恶意代码攻防研究进展
深度学习赋能的恶意代码攻防研究进展
专知会员服务
30+阅读 · 2021年4月11日
代码注释自动生成方法综述
专知会员服务
16+阅读 · 2021年1月23日
【DeepMind】无监督实体对齐,AlignNet: Unsupervised Entity Alignment
【DeepMind】无监督实体对齐,AlignNet: Unsupervised Entity Alignment
专知会员服务
21+阅读 · 2020年7月24日
搜索query意图识别的演进
搜索query意图识别的演进
DataFunTalk
13+阅读 · 2020年11月15日
Query 理解和语义召回在知乎搜索中的应用
Query 理解和语义召回在知乎搜索中的应用
DataFunTalk
25+阅读 · 2020年1月2日
CE-Net:用于2D医学图像分割的上下文编码器网络,已开源!
CE-Net:用于2D医学图像分割的上下文编码器网络,已开源!
CVer
10+阅读 · 2019年6月22日
北大、清华、微软联合提出RepPoints,比边界框更好用的目标检测方法
北大、清华、微软联合提出RepPoints,比边界框更好用的目标检测方法
全球人工智能
13+阅读 · 2019年4月30日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
【论文笔记和代码梳理】RippleNet:基于知识图谱的用户偏好传播
【论文笔记和代码梳理】RippleNet:基于知识图谱的用户偏好传播
专知
42+阅读 · 2019年4月9日
【最新综述】无监督网络表示学习综述,附18页全文下载
【最新综述】无监督网络表示学习综述,附18页全文下载
专知
28+阅读 · 2019年3月20日
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
专知
20+阅读 · 2018年4月7日
网络节点表示学习论文笔记01—AAAI2018超网络节点表示学习
网络节点表示学习论文笔记01—AAAI2018超网络节点表示学习
专知
15+阅读 · 2018年2月9日
TextInfoExp:自然语言处理相关实验(基于sougou数据集)
TextInfoExp:自然语言处理相关实验(基于sougou数据集)
全球人工智能
12+阅读 · 2017年11月12日
面向网络虚拟化的网络层可信身份验证机制研究
国家自然科学基金
0+阅读 · 2017年12月31日
面向用户体验的无线异构软件定义网络资源管理研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
随机接入中的分布式功率控制和数据包编码传输
国家自然科学基金
0+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
SkillJect: Automating Stealthy Skill-Based Prompt Injection for Coding Agents with Trace-Driven Closed-Loop Refinement
Arxiv
0+阅读 · 2月15日
CausalArmor: Efficient Indirect Prompt Injection Guardrails via Causal Attribution
Arxiv
0+阅读 · 2月8日
AgentDyn: A Dynamic Open-Ended Benchmark for Evaluating Prompt Injection Attacks of Real-World Agent Security System
Arxiv
0+阅读 · 2月6日
WebSentinel: Detecting and Localizing Prompt Injection Attacks for Web Agents
Arxiv
0+阅读 · 2月3日
AgentDyn: A Dynamic Open-Ended Benchmark for Evaluating Prompt Injection Attacks of Real-World Agent Security System
Arxiv
0+阅读 · 2月3日
From Detection to Prevention: Explaining Security-Critical Code to Avoid Vulnerabilities
Arxiv
0+阅读 · 1月31日
UPA: Unsupervised Prompt Agent via Tree-Based Search and Selection
Arxiv
0+阅读 · 1月30日
ChatInject: Abusing Chat Templates for Prompt Injection in LLM Agents
Arxiv
0+阅读 · 1月30日
PIShield: Detecting Prompt Injection Attacks via Intrinsic LLM Features
Arxiv
0+阅读 · 1月24日
NOIR: Privacy-Preserving Generation of Code with Open-Source LLMs
Arxiv
0+阅读 · 1月22日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
工具
系统
负载
提示注入
攻击
相关VIP内容
如何提升大模型通用推理能力?DeepSeek最新论文《CODEI/O:通过代码输入输出预测凝练推理模式》
如何提升大模型通用推理能力?DeepSeek最新论文《CODEI/O:通过代码输入输出预测凝练推理模式》
专知会员服务
42+阅读 · 2025年2月16日
《使用静态污点分析检测恶意代码》CMU最新30页slides
《使用静态污点分析检测恶意代码》CMU最新30页slides
专知会员服务
21+阅读 · 2023年10月11日
《基于高斯混合流和入包的异常检测》2023最新57页论文
《基于高斯混合流和入包的异常检测》2023最新57页论文
专知会员服务
28+阅读 · 2023年5月15日
【AAAI2023】DPText-DETR: 基于动态点query的场景文本检测,更高更快更鲁棒
【AAAI2023】DPText-DETR: 基于动态点query的场景文本检测,更高更快更鲁棒
专知会员服务
17+阅读 · 2023年1月23日
2022《数据安全治理白皮书 4.0》,219页pdf,中关村网络安全与信息化产业联盟数据安全治理专业委员会发布
2022《数据安全治理白皮书 4.0》,219页pdf,中关村网络安全与信息化产业联盟数据安全治理专业委员会发布
专知会员服务
65+阅读 · 2022年5月31日
什么是泛在计算?「泛在计算安全」最新2022研究综述
什么是泛在计算?「泛在计算安全」最新2022研究综述
专知会员服务
40+阅读 · 2022年5月13日
恶意文档检测研究综述
专知会员服务
19+阅读 · 2021年6月10日
深度学习赋能的恶意代码攻防研究进展
深度学习赋能的恶意代码攻防研究进展
专知会员服务
30+阅读 · 2021年4月11日
代码注释自动生成方法综述
专知会员服务
16+阅读 · 2021年1月23日
【DeepMind】无监督实体对齐,AlignNet: Unsupervised Entity Alignment
【DeepMind】无监督实体对齐,AlignNet: Unsupervised Entity Alignment
专知会员服务
21+阅读 · 2020年7月24日
热门VIP内容
相关资讯
搜索query意图识别的演进
搜索query意图识别的演进
DataFunTalk
13+阅读 · 2020年11月15日
Query 理解和语义召回在知乎搜索中的应用
Query 理解和语义召回在知乎搜索中的应用
DataFunTalk
25+阅读 · 2020年1月2日
CE-Net:用于2D医学图像分割的上下文编码器网络,已开源!
CE-Net:用于2D医学图像分割的上下文编码器网络,已开源!
CVer
10+阅读 · 2019年6月22日
北大、清华、微软联合提出RepPoints,比边界框更好用的目标检测方法
北大、清华、微软联合提出RepPoints,比边界框更好用的目标检测方法
全球人工智能
13+阅读 · 2019年4月30日
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
最新最权威《深度学习显著目标检测综述》论文代码数据发布,带你全面了解显著目标检测方法
专知
79+阅读 · 2019年4月24日
【论文笔记和代码梳理】RippleNet:基于知识图谱的用户偏好传播
【论文笔记和代码梳理】RippleNet:基于知识图谱的用户偏好传播
专知
42+阅读 · 2019年4月9日
【最新综述】无监督网络表示学习综述,附18页全文下载
【最新综述】无监督网络表示学习综述,附18页全文下载
专知
28+阅读 · 2019年3月20日
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
专知
20+阅读 · 2018年4月7日
网络节点表示学习论文笔记01—AAAI2018超网络节点表示学习
网络节点表示学习论文笔记01—AAAI2018超网络节点表示学习
专知
15+阅读 · 2018年2月9日
TextInfoExp:自然语言处理相关实验(基于sougou数据集)
TextInfoExp:自然语言处理相关实验(基于sougou数据集)
全球人工智能
12+阅读 · 2017年11月12日
相关论文
SkillJect: Automating Stealthy Skill-Based Prompt Injection for Coding Agents with Trace-Driven Closed-Loop Refinement
Arxiv
0+阅读 · 2月15日
CausalArmor: Efficient Indirect Prompt Injection Guardrails via Causal Attribution
Arxiv
0+阅读 · 2月8日
AgentDyn: A Dynamic Open-Ended Benchmark for Evaluating Prompt Injection Attacks of Real-World Agent Security System
Arxiv
0+阅读 · 2月6日
WebSentinel: Detecting and Localizing Prompt Injection Attacks for Web Agents
Arxiv
0+阅读 · 2月3日
AgentDyn: A Dynamic Open-Ended Benchmark for Evaluating Prompt Injection Attacks of Real-World Agent Security System
Arxiv
0+阅读 · 2月3日
From Detection to Prevention: Explaining Security-Critical Code to Avoid Vulnerabilities
Arxiv
0+阅读 · 1月31日
UPA: Unsupervised Prompt Agent via Tree-Based Search and Selection
Arxiv
0+阅读 · 1月30日
ChatInject: Abusing Chat Templates for Prompt Injection in LLM Agents
Arxiv
0+阅读 · 1月30日
PIShield: Detecting Prompt Injection Attacks via Intrinsic LLM Features
Arxiv
0+阅读 · 1月24日
NOIR: Privacy-Preserving Generation of Code with Open-Source LLMs
Arxiv
0+阅读 · 1月22日
相关基金
面向网络虚拟化的网络层可信身份验证机制研究
国家自然科学基金
0+阅读 · 2017年12月31日
面向用户体验的无线异构软件定义网络资源管理研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
随机接入中的分布式功率控制和数据包编码传输
国家自然科学基金
0+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top