提示词压缩竟成大模型新漏洞?港科大提出黑盒攻击框架COMA

这项研究成果已被软件工程领域顶会 ASE 2026 接收。提示提出论文第一作者为港科大 CSE 博士生刘泽森,词压成通讯作者为佘东冬教授。缩竟
在大语言模型 Agent 走向真实部署后,模型一个越来越常见的新漏问题是:上下文太长了。
现在的洞港 AI Agent 动辄需要处理超长上下文,既要看系统提示词、科大框架工具说明,黑盒又要翻阅历史对话和检索文档。攻击为了省钱、提示提出省算力并降低延迟,词压成很多开发者会给系统加上 “提示词压缩”(Prompt Compression)模块,缩竟把冗长的模型上下文浓缩后再喂给大模型。
但这招真的新漏安全吗?
香港科技大学的一项最新研究给出了否定答案。他们发现,洞港这个原本用来 “提效” 的组件,竟然会悄悄重写系统的安全边界,成为大模型应用中的全新攻击面。

论文链接:https://arxiv.org/pdf/2510.22963 代码链接:https://github.com/zsLiu2003/Comattack

研究背景:压缩不只是省 token,而是在重写安全边界
传统针对 LLM Agent 的攻击,如 prompt injection、jailbreak 或 RAG poisoning,通常默认一个前提:攻击内容必须进入后端 LLM 的有效上下文,并被模型当作恶意指令执行。
但在 prompt-compressed pipeline 中,情况发生了变化。
后端 LLM 看到的并不是原始 prompt,而是经过压缩器处理后的 compressed prompt。换言之,压缩器决定哪些系统规则、任务证据和上下文信息会被保留,哪些会在预算限制下被丢弃。
这带来一个新的安全问题:攻击者不一定需要让恶意指令穿过压缩器,也不一定需要让攻击 payload 在压缩后仍然可读。攻击者只需要在压缩前扰动非可信输入,例如用户请求或外部文档,就可能改变压缩器的保留决策,使关键安全规则或任务证据在后端推理前被删除。
一个直观的例子是:系统提示词中包含「must never use shell」这样的安全约束。攻击者无法直接修改系统提示词,但可以在用户请求后添加一段短扰动。压缩后,安全约束中的关键否定词可能被丢失,后端 LLM 最终看到的是一个被削弱的规则,从而执行本应拒绝的请求。

核心概念:Adversarial Information Loss
为了量化这种风险,研究团队提出了 “对抗性信息损失”(AIL)的概念。简单来说,就是看攻击者能不能通过微小的扰动,故意放大压缩过程中的信息流失,把不该丢的关键内容挤掉。它不是简单地问压缩质量好不好,而是问:在攻击者存在时,压缩后的 prompt 是否会诱导后端 Agent 做出与正常压缩明显不同、且安全相关的错误行为。

技术核心:COMA 如何攻击黑盒压缩 Agent?
在真实系统中,攻击者通常不知道压缩器参数、压缩预算,也看不到真实 compressed prompt。因此,论文提出了一个 transfer-based black-box attack 框架:COMA。
COMA 的核心思想是两阶段优化。
第一阶段,COMA 在压缩空间中寻找一个会诱导后端错误行为的目标 compressed prompt。例如,它会定位哪些关键 token 或关键证据一旦被删除,就会导致工具选择错误、问答错误,或系统安全规则失效。
第二阶段,COMA 在压缩前输入中搜索一个扰动,使得经过 surrogate compressor 压缩后,输出尽可能接近第一阶段找到的目标压缩结果。最后,候选扰动会被放到真实黑盒 Agent pipeline 中进行端到端验证。

实验结果:六种压缩器、三类任务下均有效
研究团队在三类任务上评估了 COMA:Agent Tool Selection、Question Answering 和 System Prompt Corruption,覆盖六种常见 prompt compressors,包括 extractive 与 abstractive 两类压缩方式。
实验结果显示,COMA 在全部 18 个设置中都取得最高攻击成功率,平均 ASR 达到 0.71,而最强的非压缩感知攻击 baseline 仅为 0.21。与此同时,无攻击设置和移除压缩器后的 COMA 设置都接近 0.01,说明该攻击并不是普通恶意提示词导致的,而是确实来自 prompt compression 引入的攻击面。

COMA 也表现出较强泛化性。在不同压缩预算下,即使正常压缩几乎不会造成错误,攻击仍能显著放大失败率。在不同后端 LLM 家族和模型规模上,COMA 的平均 ASR 仍达到 0.69,说明后端模型更换并不能根本解决问题:一旦关键上下文已经在压缩阶段被删除,后端模型往往无法恢复。
论文进一步分析了攻击机制。结果显示,COMA 的 Critical Token Removal Rate 与 ASR 高度一致:它并不是简单添加噪声,而是在可控地引导压缩器删除少量行为关键内容。对于系统提示词破坏任务,一旦安全规则中的关键 token 被移除,拒绝条件就会直接消失。
真实案例:从 VSCode Cline 到 LangChain Agent
为了验证风险是否能迁移到真实 Agent pipeline,论文构建了两个案例。
第一个案例来自 VSCode Cline。正常情况下,Agent 会拒绝读取 workspace 外部的敏感文件;但加入 COMA 扰动后,压缩器削弱了系统提示词中的关键约束,后端模型最终触发了对敏感文件的读取行为。
第二个案例来自 LangChain + Ollama 的 ReAct Agent。正常情况下,Agent 会为代码特征抽取任务选择正确工具;攻击后,压缩后的工具描述发生偏移,Agent 被诱导选择错误工具。

这两个案例说明,prompt compression 的风险并不局限于离线 benchmark,而可能影响真实软件工程 Agent 和工具调用 Agent。
如何防御:隔离是关键
面对这种新型攻击,现有的防御手段(如基于困惑度的检测)往往会大打折扣。为此,研究团队给出了一个非常务实且有效的缓解方案:隔离压缩(Isolated Compression)。
核心思路很简单:别把系统提示词、可信上下文和用户输入的不可信内容混在同一个预算池里压缩。系统应该将可信与非可信输入分开处理,并在重组拼接时加上明确的边界标记。实验证明,这种结构性防御在保护系统提示词方面非常有效,防御成功率能达到 96%。因为非可信内容不再与系统护栏共享压缩预算,攻击者就很难通过外部输入去 “挤占” 安全规则的生存空间了。
这项工作提醒了什么
这项研究揭示了 LLM Agent 部署中的一个关键问题:很多为了效率引入的系统组件,并不是简单的工程优化,而会改变模型最终看到的信息,从而改变整个 pipeline 的安全边界。
因此,对于未来的 LLM Agent 系统,安全分析不能只盯着后端 LLM 本身,也需要覆盖缓存、检索、压缩、工具编排等中间层。尤其是在长上下文和 agentic workflow 越来越普遍的场景下,如何在效率与安全之间建立更可靠的系统边界,将成为 Trustworthy Agentic AI 的核心问题之一。
(责任编辑:知识)
-
这项由北京航空航天大学CoLab实验室主导的研究成果,已于2026年7月正式发表,论文编号为 arXiv:2607.02646。感兴趣的研究人员可通过该编号在arXiv平台获取完整的技术文档与源码。训
...[详细]
-
阿斯蒙戈尔德因手部协调障碍宣布弃用主机,唯时之笛重制版或破例
知名直播主阿斯蒙戈尔德Asmongold)近日在体验《星际火狐:零重力》Star Fox Zero)重制版时坦言,因长期存在手部精细动作协调能力不足的问题,此次游玩经历促使他做出决定:今后将彻底转向P
...[详细]
-
【导读】6月30日晚间,67家A股上市公司集中发布股票交易异常波动或风险提示公告,针对玻璃基板、人工智能AI)、存储芯片等市场热点进行澄清,提醒投资者理性投资。中国基金报记者 闻言6月30日晚间,共有
...[详细]
-
山东一栋楼邻居聚餐8年:每家出2道热菜,没事的都参加,我们这个楼有事一招呼,都一呼百应
“从初次相聚,到如今第八年,愿岁岁欢聚,温情不散。”近日,山东烟台王女士发布的一段视频引发全网关注。视频中,同一栋楼的邻居们自2018年起,每年固定一日举行聚餐活动。“2022年因故未聚,其余年份从未
...[详细]
-
文/金立成今日A股走势呈现出明显的背离特征,这种“独立性”在昨日初现端倪,今日则更为显著。核心原因在于科技股与外围市场脱钩:尽管多家明星科技股发布业绩预告,但股价普遍呈现“见光死”的绿盘走势,市场情绪
...[详细]
-
库尼亚:我告诉田中碧,日本是世界最强队之一,要记住自己的实力
视频截图来源:小红书@海淀蔡依林直播吧06月30日讯 在世界杯1/16决赛巴西2-1绝杀日本的赛后,据小红书用户@海淀蔡里林发布的视频显示,巴西前锋库尼亚接受了采访。他不仅高度评价了日本足球的整体水平
...[详细]
-
万米高空的失控行为,往往伴随着远超想象的连锁反应。近期,美联航UA858航班因一名女乘客与空乘发生冲突并大闹客舱,导致整架波音777紧急备降东京的事件引发全网关注。然而,公众的视线不应仅停留在“被警方
...[详细]
-
世界杯头号水货!利物浦 1.4 亿巨星全场隐身,被防到球都摸不到
法国队以3-0的比分大胜瑞典,毫无悬念地挺进世界杯八强。然而,全场最令人失望的并非失利的一方,而是瑞典队的绝对核心——亚历山大·伊萨克。这位利物浦斥资1.4亿欧元引进的天价前锋,在本场比赛中表现堪称灾
...[详细]
-
恶魔城:贝尔蒙特的诅咒定档2026年10月15日,全平台同步发售
继上月科乐美正式公布这款全新2D动作冒险游戏《恶魔城:贝尔蒙特的诅咒》后,官方现已确认其全球发售日期为2026年10月15日,并将同步登陆各大主流平台。尽管此前发布的发售日预告片中未直接展示任天堂Sw
...[详细]
-
苹果近期宣布全球产品涨价,这一举措迅速波及国内线下渠道,导致已支付预付款的消费者面临“补差价”才能发货的困境。近日,国内多地苹果授权经销商出现因价格调整而拒绝按原价履约的情况。消费者“当当”在厦门一家 ...[详细]
- 英阿大战指定沙包?埃利奥特-安德森开场10分钟已经被犯规3次
- 杰弗森:冲突的根源,科比的死忠粉根本无法接受詹姆斯在湖人打球
- 辐射剧集台词让新维加斯主创都尴尬了?
- 内贾德回应媒体关于其被以色列招募的报道
- 英阿大战,英格兰队主教练表态:不纠结历史宿怨
- 唯一获奖人形机器人!智元远征A3 Ultra摘得WAIC 2026“镇馆之宝”
- 【前瞻】英阿大战来了!我们要看没阴谋的火星撞地球
- INART正式发布黑神话:悟空四姐1:12可动人偶,7月17日开启预售
- 科伦博泰TROP2 ADC实现“全球首个”:PD-L1阴性一线NSCLC III期达PFS主要终点
- 别再被光年骗了!宇宙中短短的一光年,其实是人类永远的牢笼

哥永一就在后台,让我们把他请出来好吗
荷兰爆冷出局!主帅辞职:有比足球更重要的东西
事发上海!男子用马桶疏通器“摸索”制造出两把枪,自称“为了放在家中观赏把玩”,法院判了
44岁郭碧婷在西双版纳被偶遇,穿绿色连衣裙,身材胖长相好普通