有些概念一出场就注定要进行业词汇表, Simon Willison 的"致命三要素"就是一个。他给 AI 智能体安全立了一条极简判据: 当一个系统同时能访问你的私有数据、会处理攻击者可控的内容、又有把信息发出去的通道, 那么被骗走数据只是时间问题。三者缺一, 攻击链就断; 三者齐备, 入口、目标、出口全都到位。
这个三角形没有任何新的技术发现。Willison 从 2022 年起就在追踪提示注入 (这个术语本来就是他起的名字), 攒了十几个头部产品被攻破的真实案例, 这篇文章做的事情是把它们摆在一起, 抽出共同的结构, 然后起一个足够吓人的名字。发布的时机选得很准: 2025 年年中正是 MCP 生态爆发的时候, 人人都在给智能体接工具。过去三要素由单一厂商凑齐, 厂商还能修; 现在是用户自己动手, 一个工具占一角, 装到第三个, 三角合拢, 而且没有任何一方对这个组合负责。
文章里最让我服气的是对"安全剧场"的拆穿。在系统提示词里写"请忽略恶意指令"挡不住无穷的变体; 厂商吹嘘的"95% 拦截率"护栏, 在安全语境下等于不及格, 因为攻击者可以无限次重试, 只需要成功一次。这个判断后来被红队研究反复验证: 现有防御在适应性攻击下几乎全线失守。根子在于 LLM 的有用性恰好来自"听从内容里的指令", 它没有可靠的办法区分指令是主人下的还是网页里埋的。这个弱点是结构性的, 短期内不存在补丁。
“The LLM vendors are not going to save us!” (指望模型厂商来救我们? 别想了。)
出自 Simon Willison 原文
我认同框架的教学价值, 也想记下它的两个裂缝。第一个裂缝是完备性: 三角隐含的威胁模型是数据窃取, 但智能体只占两角照样能出事, 接触了不可信内容又有删库或转账权限的系统, 不需要外流通道就能造成损失。Meta 后来提出的 Agents Rule of Two 把"对外通信"扩成了"改变状态", 等于官方承认了这个盲区。第二个裂缝更现实: 用户付费想要的恰恰是能读邮件、能上网、能发消息的一体化助理, 三角就是产品需求本身。让开发者砍掉一角, 很多时候等于砍掉产品。真实世界的落点大概率是分级授权、关键动作人工确认这类折中, 框架给了方向, 没给出路。
对我这种自己折腾工具链的人, 这篇文章最实用的部分可以压缩成一个动作: 给手上每个智能体画三角, 逐个工具标注它占哪一角。三角齐备的组合, 优先砍外流那一角, 域名白名单和禁止自动发送是成本最低的断链点。每次装新的 MCP 工具之前, 先问一句它会让系统新占哪一角, 这一秒钟的自查比事后任何补救都便宜。
一个独立博主定义了整个行业的风险词汇, 靠的是三年的案例积累加一次精准的概念压缩。安全领域从来不缺细节报告, 缺的是能让普通开发者三秒钟完成自查的心智模型。这篇给了, 所以它配得上被反复引用。
原文: The lethal trifecta for AI agents: private data, untrusted content, and external communication, 作者 Simon Willison, 发布于 2025-06