# exploitation
標記為「exploitation」的 88 篇文章
利用代理工具使用
如何操弄 AI 代理,使其以攻擊者可控的參數呼叫工具,並濫用其能力達成資料外洩、提權,以及未授權動作。
工具使用利用
利用 AI 代理如何呼叫外部工具與 API 的完整技術,包含工具描述投毒、過度寬鬆存取濫用與工具輸出操控。
AI 代理利用
經混淆代理攻擊、目標劫持、特權升級與沙箱逃逸利用 AI 代理架構之方法論。
CrewAI 代理利用
CrewAI 框架的利用技術,包括代理角色操縱、任務委派劫持以及組員之間的信任邊界攻擊。
Haystack 管線利用
Haystack 管線框架的利用技術,包括管線節點注入、檢索元件投毒以及文件儲存操縱。
Phidata 代理攻擊
Phidata 代理框架之安全分析,含知識庫投毒與工具濫用。
Semantic Kernel 外掛漏洞利用
利用 Microsoft Semantic Kernel 的外掛與規劃器達成未授權程式碼執行。
瀏覽器代理框架利用
透過 DOM 注入與導航操弄利用 browser-use 與網頁代理框架。
上下文操縱
透過操縱代理的上下文視窗內容,以改變推理、覆寫指令或注入惡意優先順序的攻擊技術。
Vector-based 記憶體投毒
對代理系統中之 vector-based 記憶體儲存投毒,於檢索時注入偽造脈絡。
記憶體逐出利用
利用受上下文限制代理中之記憶體逐出政策,選擇性移除與安全相關之脈絡。
函式呼叫錯誤利用
透過錯誤訊息、重試行為與例外處理路徑操縱代理以觸發未預期行為的技術。
函式型別混淆攻擊
利用代理將自然語言映射至 API 型別時的弱點,以傳入型別不符或溢位邊界的參數。
函式呼叫攻擊(Function Calling Exploitation)
概述 LLM 函式/工具呼叫的運作方式、其產生的攻擊面,以及對 AI 系統中函式呼叫介面進行利用的系統化方法。
平行函式呼叫漏洞利用
利用平行函式呼叫製造競爭條件並繞過循序驗證。
參數操弄
打造 LLM 函式呼叫中惡意參數值的技術,包含型別混淆、邊界越界、經由參數之注入,以及利用不完善之驗證。
函式結果投毒(代理式攻擊)
操弄函式回傳值以影響 LLM 行為的技術、透過工具結果注入指令,以及將被投毒結果串接為多步攻擊。
JSON Schema 注入
操弄函式定義與 JSON schema 以改變 LLM 行為、注入額外參數,以及利用工具呼叫系統中 schema 驗證缺口之技術。
結構化輸出工具注入
利用結構化輸出模式,將工具呼叫指令注入模型回應。
工具釐清攻擊
利用工具選擇之歧義,將函式呼叫重導至非預期之工具。
函式幻覺利用
利用模型對不存在 API 之函式呼叫幻覺傾向以進行資訊揭露。
MCP 設定注入
透過操縱 MCP 用戶端或伺服器設定注入惡意連線、工具路徑與預設參數的攻擊。
MCP 動態工具註冊
利用 MCP 動態工具註冊機制的攻擊,包括在執行階段注入對抗性工具與冒充既有工具。
MCP 根列示利用
利用 MCP 根列示(Root Listing)介面枚舉資源、檔案與代理可及路徑的攻擊。
MCP 取樣利用
利用 MCP 取樣(Sampling)機制,誘使代理代表攻擊者向 LLM 發出請求或傳送資料。
MCP SSE 安全性分析
MCP Server-Sent Events (SSE) 傳輸層的安全分析,涵蓋注入、劫持與連線降級風險。
MCP stdio 利用
利用 MCP stdio 傳輸(本機行程通訊)的攻擊,包括訊息竄改、行程濫用與本機權限提升。
MCP 批次工具呼叫利用
利用 MCP 中之批次工具呼叫以建立競態條件並繞過逐呼叫驗證。
A2A 成品操縱
操縱 A2A 協議中代理間傳遞的成品(Artifact)內容或 metadata,以影響下游代理行為。
A2A 發現利用
利用 A2A 代理發現機制(Agent Card、註冊表、目錄服務)進行攻擊或資訊蒐集。
A2A 推送通知濫用
濫用 A2A 推送通知機制以注入指令、觸發非預期任務或造成資源耗盡的攻擊。
A2A 任務狀態操縱
操縱 A2A 任務狀態機(待辦、執行中、完成、取消),以跳過驗證或重複執行。
反思迴圈漏洞利用
利用代理工作流程中的自我反思與自我修正迴圈。
監督代理覆寫
於階層式多代理架構中覆寫監督代理之技術。
工具鏈放大攻擊
於代理工作流程中串接工具呼叫以放大攻擊影響,達成串聯利用。
備援處理器利用
利用代理工作流程中安全控管較主要路徑薄弱之備援與錯誤處理器。
重試迴圈利用
利用代理工作流程中之重試與錯誤處理迴圈以放大攻擊 payload 並耗盡資源。
工作流程檢查點操弄
操弄工作流程檢查點與儲存點,進行狀態回滾攻擊。
代理式利用評估
評估涵蓋MCP 利用、函式呼叫 abuse、代理記憶攻擊、A2A 注入。
技能驗證: MCP 利用
動手實作技能驗證的MCP transport 攻擊、tool description injection、server impersonation。
案例研究:AI 招聘系統偏見利用
分析針對 AI 招聘系統的對抗性攻擊,以及履歷篩選機制的漏洞利用。
程式助理利用技術
利用 AI 程式助理生成不安全程式碼或外洩儲存庫資訊的技術。
測試生成利用
操縱 AI 測試生成,使產出的測試通過但錯過關鍵漏洞。
2026 年 3 月:代理利用挑戰
經提示注入與工具濫用破壞多工具代理系統,以升級之難度與分數值完成多個目標。
記憶化利用
從大型語言模型中擷取被記憶訓練資料的進階技術。
混合搜尋利用
利用結合密集與稀疏檢索的混合搜尋系統中的漏洞。
重新排序器利用
利用重新排序器模型的漏洞操縱檢索管線最終排序結果。
微調 API 利用
利用商業微調 API(OpenAI、Anthropic)進行安全繞過與模型操控。
指令遵循作為攻擊面
為何大型語言模型的指令遵循能力本質上即為攻擊面。
Copilot/Cursor IDE 利用ation
利用ing IDE-integrated AI code assistants: repository context poisoning, malicious comments that steer suggestions, data exfiltration through code completions, and prompt injection via file content.
模型崩潰利用
利用迭代式合成訓練下模型崩潰現象的攻擊。
Chain-of-Thought 利用ation
Techniques for manipulating reasoning chains in CoT-enabled models: false premise injection, logic bombs, reasoning hijacking, and chain corruption attacks.
推論模型利用
針對具推論能力模型的攻擊,包括 o1/o3 類模型以及其推論令牌利用。
阿諛奉承利用
針對模型阿諛奉承行為的系統性利用,以及相應防禦。
世界模型利用
利用已學世界模型進行對抗性目的的利用與相應防禦。
上下文視窗的內部機制
Transformer 上下文視窗中的注意力衰減、位置編碼限制與記憶管理如何創造可被紅隊操作利用的模式。
Cross-Plugin 利用 鏈
鏈 exploits across multiple LLM plugins to achieve capabilities not available through any single plugin.
LangChain CVE 利用 實驗室
Reproduce與analyze LangChain CVEs,包括 CVE-2023-29374與CVE-2023-36258 in a safe lab environment.
Reasoning Trace 利用 in CoT 模型
利用 visible chain-of-thought reasoning traces in models like o1與DeepSeek-R1 to manipulate outputs.
JSON Output 利用 Basics
利用 LLM JSON mode to bypass content filters與extract information through structured output channels.
Error Message 利用
Trigger與analyze error messages from LLM applications to reveal architecture與configuration details.
Emergent Behavior 利用
Identify與exploit emergent behaviors in frontier models that arise from scale與are not present in smaller models.
MoE Routing 利用 實驗室
利用 Mixture-of-Experts routing mechanisms to selectively activate or suppress expert modules in MoE models.
MoE Routing 利用
利用 Mixture-of-Experts routing mechanisms to activate specific expert networks for adversarial purposes.
實驗室: Exploiting AI 代理
動手實驗室,主題為exploiting AI agents with tool access through indirect 提示詞注入,tool-call chaining,privilege escalation techniques.
實驗:思考鏈利用
利用思考鏈推理,洩漏模型內部推理、繞過安全過濾器、操弄決策過程。
實驗:利用 LLM 幻覺
利用幻覺傾向,觸發捏造的工具呼叫、虛構的 API 端點與虛假事實注入。
實驗室: MCP Server 利用
動手實驗室,主題為attacking a vulnerable MCP server,demonstrating tool shadowing,consent phishing,server impersonation techniques.
實驗:輸出 Schema 利用
利用結構化輸出 Schema,迫使模型透過必填欄位的填寫揭露資訊。
實驗:角色階層利用
透過操弄 system、user 與 assistant 角色之間的指令階層,利用多角色 LLM 架構。
Session State 利用 實驗室
利用 session management vulnerabilities in LLM applications to access other users data or escalate privileges.
Structured Output 利用
利用 JSON mode與structured output constraints to bypass safety filters.
進階 A/B 測試利用
操弄 A/B 測試框架使模型選擇偏向較不安全的變體,或引入對抗性的模型候選。
MoE 路由利用
如何利用專家混合模型的路由機制以偏置輸出或建立側通道。
文件解析利用
利用文件解析器的弱點與邊緣案例,在 AI 處理前後偷渡惡意內容。
視訊理解模型利用
以造成誤分類或指令注入之對抗視訊攻擊視訊字幕、視訊 Q&A 與動作辨識模型。
指令階層利用
利用不同模型供應商間指令優先階層的模糊性。
課程學習利用(訓練管道)
利用課程學習與資料排序,放大被投毒訓練樣本的效果。
RLHF 管道利用
利用獎勵模型訓練、偏好資料收集與 RLHF 優化迴圈。
API 鏈式利用詳解
詳解代理系統中鏈接多個 API 呼叫以實現多步驟未授權行動的方法。
函式呼叫利用指南
Complete walkthrough of exploiting function calling in OpenAI, Anthropic, and Google AI APIs.
Inference Endpoint 利用ation
利用ing inference API endpoints for unauthorized access, data exfiltration, and service abuse through authentication flaws, input validation gaps, and misconfigured permissions.
Logit Bias Exploitation 詳解
Exploit logit bias API parameters to force models toward specific token sequences and bypass safety filters.
Reasoning Model Exploitation 詳解
Exploit extended thinking in reasoning models to inject false premises and manipulate conclusion generation.
Role Confusion Exploitation 詳解
Exploit role boundaries in chat APIs by injecting assistant-role messages and system-level instructions.
API Parameter Exploitation 詳解
Walkthrough of exploiting undocumented and misconfigured API parameters in LLM service endpoints.
Batch API Exploitation 詳解
Walkthrough of exploiting batch processing APIs for large-scale prompt injection and output analysis.
Instruction Hierarchy Exploitation 詳解
Walkthrough of exploiting how models prioritize system, user, and tool instructions to override safety directives.