提示词压缩也成攻击面

jiqizhixin · x · 2026-07-16

香港科技大学研究者提出了一种针对**提示词压缩**的新攻击:当可信输入和不可信输入共用压缩预算时,攻击者可以诱使压缩器提前删掉关键证据或安全规则,让 LLM 在真正看到内容前就丢失重要信息。 他们把这种攻击称为 **COMA**,并用 surrogate compressor 寻找微小扰动来触发错误压缩。论文报告中,这种方法在工具选择、问答和系统提示词破坏等任务上的**成功率达到 0.71**,明显高于已有方法的 **0.21**。

原文链接 →