主要观点：使用具有三种特性（访问私人数据、接触不可信内容、外部通信能力）工具的 LLM 系统存在风险，攻击者可借此窃取数据，LLM 会遵循内容中的指令，难以可靠区分指令来源重要性，此问题常见于多种生产系统，Model Context Protocol 易致暴露风险，护栏产品不能可靠防止，这是“提示注入”类攻击的例子，需用户自身避免致命的三重组合以保安全。
关键信息：

• 三种特性：访问私人数据、接触不可信内容、外部通信能力。
• LLM 遵循内容指令，难以区分来源重要性。
• 此问题在多个生产系统中出现，如 Microsoft 365 Copilot 等。
• Model Context Protocol 易致混合不同来源工具暴露风险。
• 护栏产品不能可靠防止攻击。
• “提示注入”类攻击，需用户理解并避免。
  重要细节：
• 图示展示三种特性的交集即致命三重奏。
• 研究人员报告此类攻击案例众多且供应商已及时修复。
• 简单工具如能访问邮箱易成为不可信内容来源。
• 介绍相关研究论文如 Design Patterns for Securing LLM Agents against Prompt Injections 等。
• 区分提示注入和越狱攻击，强调用户理解该问题的重要性。