OWASP 2026 年的数据揭示了一个大多数董事会仍未追踪的企业 AI 风险:提示词注入攻击在 2026 年激增 340%,现已出现在 73% 接受安全审计的生产 AI 部署中。然而,只有 34.7% 的组织部署了专门的防御措施。
对于 2026 年部署代理式 AI 的香港企业领袖而言,这不是开发者层面的问题。这是董事会层级的治理议题、《个人资料(私隐)条例》的合规暴露点,以及与监管机构之间的信誉问题。
什么是提示词注入?为何 OWASP 将其列为 AI 第一大威胁?
提示词注入是一种网络攻击技术,攻击者将恶意指令嵌入用户输入、文件、网页、电子邮件或 AI 处理的其他内容之中,藉此操控大型语言模型。OWASP 将其分类为 LLM01,即最关键的 AI 漏洞,因为它利用了一个根本性的设计弱点:大型语言模型无法可靠地区分受信任的开发者指令与不受信任的外部资料。
攻击者无需入侵你的系统,只需把文字放在 AI 会读到的地方就可以。根据 OWASP 2025 年生成式 AI 十大风险报告,这个架构性缺陷存在于每一个未经明确缓解措施的 LLM 系统,包括香港企业所有部署的 ChatGPT Enterprise、Copilot、Claude、Gemini 与自订代理堆栈。
提示词注入与传统网络攻击有何不同?
提示词注入与传统网络攻击不同之处,在于它不需要程序代码漏洞或凭证盗取。攻击者只是精心设计自然语言指令,覆盖 AI 原本的行为,这些指令通常藏在 AI 被要求处理的内容里,例如客户电邮、PDF、网页、Slack 讯息,或附在采购申请中的 Word 文件。
传统的防火墙、防毒工具、入侵侦测系统,全部都看不到提示词注入。攻击隐藏在合法的商业内容之中。Palo Alto Networks 的威胁研究部门 Unit 42 在 2026 年 3 月记录了首批大规模间接提示词注入攻击的真实案例,包括在商业平台上规避广告审查、从企业聊天机器人提取系统提示词。
对香港企业而言,影响非常直接。任何吸收外部内容的 AI 部署,都可能被任何能在 AI 面前放置文字的人武器化。这包括面向客户的聊天机器人、文件摘要工具、读取电邮的内部副驾驶,以及从公开网络来源抓取资料的代理系统。
2026 年企业面对的提示词注入攻击有哪些类型?
2026 年企业面对两大类攻击:直接提示词注入,即攻击者直接在 AI 介面输入恶意指令;以及间接提示词注入,即恶意指令隐藏在 AI 被要求处理的内容中。间接攻击是更危险的变种,因为它不需要攻击者直接接触系统。
真实的企业攻击模式包括:
--- 文件夹带注入:恶意指令藏在以供应商提案形式提交的 PDF 或 Word 档案中,导致 AI 采购审核员推荐攻击者的投标。
--- 电邮式注入:来信中含有隐藏文字,指示企业 AI 助理将客户记录转发至外部地址。
--- 网页内容注入:研究代理撷取公开资讯时,吸入带有指令的页面,导致泄漏系统提示词或内部上下文。
--- 多阶段越狱:攻击者透过连环对话提示,逐步侵蚀 AI 的安全边界。
--- 工具滥用:被污染的输入说服代理系统呼叫内部工具,例如档案删除、电邮发送、付款授权,并使用攻击者提供的参数。
为何提示词注入对香港《私隐条例》合规如此重要?
提示词注入对香港《私隐条例》合规之所以重要,是因为对处理个人资料的 AI 系统发动成功的攻击,可能根据《个人资料(私隐)条例》资料保障原则第 4 条,触发未经授权的披露。私隐专员公署在 2026 年已明确表示,导致资料泄漏的 AI 安全失误,将被视为可执行的违规,而非单纯的技术事故。
2026 年 3 月,个人资料私隐专员特别就代理式 AI 私隐风险发出警示,指出自主 AI 系统的风险高于普通聊天机器人,需要在收集、使用及处理个人资料的各个阶段加入额外保障措施。早前发布的《人工智能个人资料保障模范框架》,已要求组织进行 AI 风险评估,并按风险特性部署相应的安全控制措施。
对一家香港金融服务公司或专业服务集团而言,这意味着导致客户资料外泄的提示词注入事件,不只是安全事件。这是一宗有书面记录的监管违规,涉及通报义务、潜在执法行动,以及重大的声誉风险。
香港企业如何防御提示词注入?
香港企业可透过纵深防御的方式对抗提示词注入,包括输入过滤、输出验证、受信任与不受信任内容的分隔、能力限制、以及持续的对抗性测试。OWASP 明确指出,没有任何万无一失的防御方法,因此目标是透过多层缓解措施,降低成功攻击的机率与影响。
企业部署的实际防御层级包括:
--- 输入控制:在内容进入 LLM 之前,过滤或标记可疑模式。
--- 权限分隔:将 AI 从外部来源处理的任何内容视为不受信任,并对 AI 基于该输入可执行的动作设立严格边界。
--- 工具能力限制:限制代理式 AI 在没有人类核准下能做的事情范围,尤其是不可逆的操作,例如发送电邮、进行付款、删除记录。
--- 输出验证:在采取行动之前,按业务规则与政策合规检查 AI 输出。
--- 红队测试:在部署前及部署后持续进行对抗性测试,2026 年业界基准是至少 500 个测试案例,专门探测提示词注入的易感性。
--- 监察与事件应变:记录所有 AI 互动、标记异常情况,并针对疑似提示词注入事件设定书面应变计划。
2026 年企业准备度的差距有多大?
2026 年企业准备度差距非常惊人。根据思科 2026 年 AI 安全现状报告,83% 的组织计划部署代理式 AI,但只有 29% 认为自己准备好安全部署。差距最大的是中型企业,因为其安全团队较小、AI 部署速度较快,而提示词注入防御通常在安全预算中被排在较低优先级。
对员工人数 50 至 500 人之间的香港企业而言,准备度差距被三个因素放大:
--- 供应商不透明:AI 供应商很少在销售资料中说明自家的提示词注入防御能力,大多数企业采购流程并未专门测试这一项。
--- 跨职能职权混乱:提示词注入夹在 AI 工程、网络安全、合规与业务单位之间。当责任归属不清晰,缓解措施就会残缺不全。
--- 缺乏测试资料:大多数企业没有针对自身用例设计的对抗性测试集。通用的 OWASP 范例能挡下通用攻击,但企业特定的攻击需要企业特定的测试。
2026 年成功收窄这道差距的企业,靠的是正式的 AI 安全评估,而不是寄望供应商已经处理好。
董事会与财务总监应如何在 AI 投资决策中看待提示词注入?
董事会与财务总监应该把提示词注入视为任何 AI 投资决策中的第一级风险,等同于云端或 SaaS 采购中的网络风险。这意味着要求供应商提供有书面记录的防御姿态、为 AI 安全测试拨出专门预算,并把 AI 事故情境纳入企业风险登记册与灾难复原计划。
在批准任何 AI 代理或自主 AI 部署之前,董事会层级应提出以下问题:供应商的提示词注入防御姿态是什么?是否经过独立验证?AI 能做的哪些事情是我们难以撤销的?哪些控制措施限制了这些高影响行为?我们的对抗性测试时间表是什么?谁拥有?如果明天就发生提示词注入事件,我们的回应时间、升级路径、以及在《私隐条例》下的通报义务分别是什么?
2026 年提出这些问题的企业,正在将自己定位为业内可信赖的 AI 采用者。没有提出这些问题的企业,正暴露于今年最可预测的失败模式之中。
结语:从可选的关切,到必须的企业纪律
提示词注入在 2026 年并不是一个假设性的 AI 风险。它已被记录出现在 73% 接受审计的生产 AI 部署中,按年攀升 340%,并被 OWASP 列为第一大 AI 漏洞。把它当作开发者层面问题的香港企业,正在把威胁错配到组织错误的层级。
那 29% 自认准备好安全部署代理式 AI 的组织,并非运气比较好或资源比较充裕。他们把 AI 安全提升到董事会级别的治理纪律、清晰界定责任归属,并将纵深防御融入采购、部署、运营三个环节。
未来十二个月,会把香港企业分成两类:在事故迫使对话发生之前就建立 AI 安全基础设施的,与没有建立的。懂AI的冷,更懂你的难 — UD 同行28年,让科技成为有温度的陪伴。有些风险值得独自承担。AI 安全不是其中之一。
了解威胁只是开始。下一步是建立一套经得起审计、能放进董事会议程、能对抗真实攻击者的防御姿态。UD 团队手把手带你完成每一步,从 AI 安全评估、代理式 AI 部署强化,到持续的红队测试。28 年香港企业科技经验,全程陪你走。
