What is 利用代理工具使用?

如何操弄 AI 代理，使其以攻擊者可控的參數呼叫工具，並濫用其能力達成資料外洩、提權，以及未授權動作。

What is 操弄推理鏈?

影響 AI 代理的 chain-of-thought 推理，將其規劃、決策與工具選擇導向攻擊者期望結果的技術。

What is 攻擊多代理系統?

針對多代理架構的攻擊技術，涵蓋代理間注入、信任邊界破壞、連鎖入侵，以及 A2A 協定攻擊。

What is Permission Boundary Bypass?

Escalating from limited to elevated permissions in AI agent systems through scope creep, implicit permission inheritance, and capability confusion.

What is Markdown Image Injection?

Injecting markdown image tags with attacker-controlled URLs to exfiltrate conversation data via HTTP image requests.

What is 基於連結的外洩?

使用超連結、重導向或 URL 參數從 AI 系統外洩資料，透過 markdown 連結、工具產生的 URL 與 API 回呼利用。

What is 工具 Use 利用ation?

Comprehensive techniques for exploiting how AI agents call external tools and APIs, including tool description poisoning, overly permissive access abuse, and tool output manipulation.

What is 代理記憶體投毒?

Techniques for injecting malicious content into agent memory systems -- conversation history, RAG stores, and vector databases -- to achieve persistent cross-session compromise.

What is 代理 Goal Hijacking?

Techniques for redirecting AI agent objectives through poisoned inputs, indirect prompt injection, and multi-step manipulation -- the #1 ranked risk in OWASP's 2026 Agentic Top 10.

What is 代理 Delegation 攻擊s?

利用ing multi-agent delegation patterns to achieve lateral movement, privilege escalation, and command-and-control through impersonation and insecure inter-agent communication.

代理與代理式利用

Beginner2 min readUpdated 2026-03-12

自主 AI 代理的安全概覽，涵蓋由工具呼叫、持久記憶體、多步推理與多代理協調所建立的擴大攻擊面。

agents agentic-ai tool-use mcp security

AI 代理代表了大型語言模型攻擊面的根本性擴張。基本聊天機器人僅能產出文字，但代理能執行程式碼、瀏覽網路、寄發電子郵件、修改檔案，並與外部服務互動。代理能存取的每一個工具，都是潛在的攻擊向量。

代理有何不同

傳統大型語言模型應用程式是無狀態的「文字進、文字出」系統；代理則增加：

工具存取 ——代理可呼叫的函式（檔案系統、API、資料庫、程式碼執行）
持久記憶體 ——橫跨對話與工作階段保留的狀態
多步推理 ——代理規劃並執行一連串動作
環境互動 ——代理從外部系統讀取與寫入
自主性 ——代理不需人類逐步核准即可作出決策

上述每一項能力都建立了在簡單聊天介面中不存在的新攻擊面。

代理攻擊面

                    ┌─────────────────────┐
                    │   Tool Definitions   │ ← Tool poisoning
                    └──────────┬──────────┘
                               │
User Input ──→ Agent LLM ──→ Tool Calls ──→ External Systems
     ↑              │              │               │
     │         ┌────┴────┐   ┌────┴────┐     ┌────┴────┐
     │         │ Memory  │   │ Results │     │  Side   │
     │         │ Store   │   │ Parsing │     │ Effects │
     │         └─────────┘   └─────────┘     └─────────┘
     │          ↑ Memory         ↑ Indirect       ↑ Real-world
     │            poisoning        injection        impact
     └──── Prompt injection via any input channel

攻擊類別	說明	影響
工具濫用	操控代理呼叫哪些工具及傳入何種參數	程式碼執行、資料外洩、權限提升
思維鏈操控	引導代理的推理流程，使其得出攻擊者期望的結論	行為微妙改動、目標劫持
多代理攻擊	利用協作代理之間的信任關係	連鎖故障、代理間注入
記憶體投毒	將持久性指令注入代理的記憶體	長期後門、跨工作階段攻擊

MCP 攻擊面

Model Context Protocol（MCP）將代理如何發現並呼叫工具的流程標準化。MCP 引入特定攻擊向量：

工具列舉 ——攻擊者可看到代理有哪些可用工具
工具描述操控 ——惡意工具描述可引導代理行為
參數注入 ——精心打造的輸入使代理將攻擊者控制的值傳給工具
傳輸層攻擊 ——對 stdio 或 HTTP/SSE 傳輸進行中間人攻擊

代理紅隊演練的關鍵原則

先繪製工具面 ——在測試注入前，先列舉代理可存取的每個工具，並理解其能力與權限
工具會放大注入影響 ——每個工具都是潛在的外洩通道或破壞能力
記憶體造成持久性 ——存入代理記憶體的注入會在當下工作階段之外延續
信任邊界是隱性的 ——代理通常不驗證就信任工具輸出與其他代理
自主性擴大影響範圍 ——不需人類確認即行動的代理是更高影響的目標

學習路徑

請從工具使用利用開始，理解最常見且最具影響力的代理攻擊向量，接著進入思維鏈操控學習更細微的技術，最後以多代理攻擊探討最複雜的情境。

參考文獻

Greshake, K. et al. (2023). "Not What You've Signed Up For: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection"
Zhan, Q. et al. (2024). "InjecAgent: Benchmarking Indirect Prompt Injections in Tool-Integrated LLM Agents"
Ruan, Y. et al. (2024). "Identifying the Risks of LM Agents with an LM-Emulated Sandbox"
OWASP (2025). OWASP Top 10 for LLM Applications
Xi, Z. et al. (2023). "The Rise and Potential of Large Language Model Based Agents: A Survey"

Knowledge Check

為何工具存取會根本性地改變提示詞注入的風險輪廓？

代理與代理式利用

Beginner2 min readUpdated 2026-03-12

自主 AI 代理的安全概覽，涵蓋由工具呼叫、持久記憶體、多步推理與多代理協調所建立的擴大攻擊面。

agents agentic-ai tool-use mcp security

代理有何不同

傳統大型語言模型應用程式是無狀態的「文字進、文字出」系統；代理則增加：

工具存取 ——代理可呼叫的函式（檔案系統、API、資料庫、程式碼執行）
持久記憶體 ——橫跨對話與工作階段保留的狀態
多步推理 ——代理規劃並執行一連串動作
環境互動 ——代理從外部系統讀取與寫入
自主性 ——代理不需人類逐步核准即可作出決策

上述每一項能力都建立了在簡單聊天介面中不存在的新攻擊面。

代理攻擊面

                    ┌─────────────────────┐
                    │   Tool Definitions   │ ← Tool poisoning
                    └──────────┬──────────┘
                               │
User Input ──→ Agent LLM ──→ Tool Calls ──→ External Systems
     ↑              │              │               │
     │         ┌────┴────┐   ┌────┴────┐     ┌────┴────┐
     │         │ Memory  │   │ Results │     │  Side   │
     │         │ Store   │   │ Parsing │     │ Effects │
     │         └─────────┘   └─────────┘     └─────────┘
     │          ↑ Memory         ↑ Indirect       ↑ Real-world
     │            poisoning        injection        impact
     └──── Prompt injection via any input channel

攻擊類別	說明	影響
工具濫用	操控代理呼叫哪些工具及傳入何種參數	程式碼執行、資料外洩、權限提升
思維鏈操控	引導代理的推理流程，使其得出攻擊者期望的結論	行為微妙改動、目標劫持
多代理攻擊	利用協作代理之間的信任關係	連鎖故障、代理間注入
記憶體投毒	將持久性指令注入代理的記憶體	長期後門、跨工作階段攻擊

MCP 攻擊面

Model Context Protocol（MCP）將代理如何發現並呼叫工具的流程標準化。MCP 引入特定攻擊向量：

工具列舉 ——攻擊者可看到代理有哪些可用工具
工具描述操控 ——惡意工具描述可引導代理行為
參數注入 ——精心打造的輸入使代理將攻擊者控制的值傳給工具
傳輸層攻擊 ——對 stdio 或 HTTP/SSE 傳輸進行中間人攻擊

代理紅隊演練的關鍵原則

先繪製工具面 ——在測試注入前，先列舉代理可存取的每個工具，並理解其能力與權限
工具會放大注入影響 ——每個工具都是潛在的外洩通道或破壞能力
記憶體造成持久性 ——存入代理記憶體的注入會在當下工作階段之外延續
信任邊界是隱性的 ——代理通常不驗證就信任工具輸出與其他代理
自主性擴大影響範圍 ——不需人類確認即行動的代理是更高影響的目標

學習路徑

請從工具使用利用開始，理解最常見且最具影響力的代理攻擊向量，接著進入思維鏈操控學習更細微的技術，最後以多代理攻擊探討最複雜的情境。

參考文獻

Greshake, K. et al. (2023). "Not What You've Signed Up For: Compromising Real-World LLM-Integrated Applications with Indirect Prompt Injection"
Zhan, Q. et al. (2024). "InjecAgent: Benchmarking Indirect Prompt Injections in Tool-Integrated LLM Agents"
Ruan, Y. et al. (2024). "Identifying the Risks of LM Agents with an LM-Emulated Sandbox"
OWASP (2025). OWASP Top 10 for LLM Applications
Xi, Z. et al. (2023). "The Rise and Potential of Large Language Model Based Agents: A Survey"

Knowledge Check

為何工具存取會根本性地改變提示詞注入的風險輪廓？

代理與代理式利用

代理有何不同

代理攻擊面

MCP 攻擊面

代理紅隊演練的關鍵原則

學習路徑

相關主題

參考文獻

Learning Path

代理與代理式利用

代理有何不同

代理攻擊面

MCP 攻擊面

代理紅隊演練的關鍵原則

學習路徑

相關主題

參考文獻

Learning Path

代理與代理式利用

Learning Path

Related articles

代理與代理式利用

Learning Path

Related articles