审批机制本是保障AI安全的最后一道人工防线，却正被“循环欺骗”攻击精准突破

在生成式AI深度融入企业运营与个人工作的今天，“人在环中（HITL）”审批机制本是保障AI安全的最后一道人工防线，却正被“循环欺骗（Lies-in-the-Loop，LITL）”攻击精准突破。这种新型攻击将人机交互的信任基础转化为攻击漏洞，利用用户认知盲区与AI交互机制缺陷，使常规审批流程沦为恶意操作的“绿色通道”。相关测试显示，该攻击在主流AI代理工具、代码助手及企业级大模型平台上的成功率已达63%，不仅导致数据泄露、系统沦陷等即时风险，更动摇了AI应用的信任根基，成为数字时代不可忽视的安全隐患。深入剖析其攻击逻辑、拓展防御维度、预判未来趋势，是当前AI安全领域的核心命题。

一、攻击本质：人机交互信任链的逆向破解

LITL攻击的核心并非直接突破AI模型本身，而是精准拿捏“AI生成-用户审批-系统执行”的流程漏洞，通过三层逆向操作，将安全防线转化为攻击跳板，其本质是对人机信任关系的系统性欺骗。

（一）攻击三角：视觉遮蔽、摘要造假与上下文投毒的协同作战

1. 视觉遮蔽与格式欺诈：攻击者利用AI交互界面的渲染特性，通过超长无害文本堆砌、Markdown格式漏洞或多模态内容嵌套，将恶意命令（如远程代码执行、数据窃取指令）隐藏在可视区域之外或伪装成正常说明。例如在审批弹窗中，用数千字的“系统优化说明”掩盖底部的“rm -rf /”删除指令，或通过HTML标签嵌套使恶意代码在界面中不可见，用户仅浏览表面内容便轻易点击“批准”。
2. 摘要造假与意图误导：通过提示词注入技术诱导AI生成虚假安全摘要，将真实的高危操作包装为“文件备份”“权限校准”“数据同步”等常规动作。研究表明，78%的用户在审批时仅关注AI生成的摘要信息，而忽略对完整内容的核查，这一习惯被攻击者精准利用，使恶意操作顺利绕过人工审核。
3. 上下文投毒与认知锚定：在多轮对话中提前注入污染性提示，篡改AI的语境判断逻辑。例如先通过正常咨询建立“系统升级”的对话背景，后续再发送包含恶意指令的“升级补丁包执行请求”，使AI生成的审批弹窗与用户预期高度一致，大幅降低警惕性。这种上下文污染甚至能绕过AI的基础安全过滤，使恶意指令直接进入审批流程。

（二）攻击演进：从单点欺骗到链条化渗透

随着AI安全防护的基础措施升级，LITL攻击已从单一手法转向多环节协同的链条化攻击。攻击者开始结合“令牌走私”（用特殊符号替换关键词）、“负载拆分”（将恶意指令拆分到多轮对话中）等进阶技巧，规避AI的关键词过滤与语义检测。更危险的是，部分攻击已实现自动化生成，通过恶意脚本批量制造包含LITL漏洞的交互内容，针对企业级AI代理工具发起规模化攻击，攻击效率较传统手法提升5倍以上。

二、危害升级：从单点沦陷到系统性风险扩散

LITL攻击的危害远不止单次操作失误导致的损失，其通过突破人机交互防线，引发从个体到组织、从技术到信任的多层级风险传导，形成系统性安全危机。

（一）核心资产面临直接威胁

AI代理工具常被授予一定的系统权限，尤其是企业场景中，代码助手、自动化运维AI可能拥有服务器操作、数据库访问等高危权限。一次误批即可导致核心数据泄露（如客户信息、商业机密被窃取）、系统配置被篡改，甚至植入持久化后门，后续清除成本极高。某金融科技公司曾因员工误批AI生成的“数据统计脚本”，导致30万用户敏感信息被窃取，直接经济损失超2000万元。

（二）安全体系陷入“信任崩塌”困境

LITL攻击的隐蔽性使其难以被事后追溯，攻击痕迹常被正常操作日志掩盖，导致安全团队无法快速定位攻击源头与扩散路径。更严重的是，该攻击会摧毁用户对AI审批机制的信任，形成“不敢批、批错漏”的恶性循环——一方面，用户因恐惧攻击而拒绝正常审批请求，影响工作效率；另一方面，过度警惕导致的疲劳感反而会增加误批概率，使安全防线陷入“越防越乱”的困境。

（三）合规风险与行业连锁反应

2025年国内因AI生成内容引发的合规纠纷同比激增80%，LITL攻击导致的恶意操作往往会引发数据合规、网络安全等相关法律责任。对于金融、医疗、政务等敏感行业，AI审批环节的安全漏洞可能导致行业性信任危机，例如医疗AI的审批漏洞可能引发患者隐私泄露，政务AI的误操作可能导致公共服务数据异常，其影响范围远超单一企业。

三、分层防御：构建“人机协同+技术拦截+生态治理”的立体防线

应对LITL攻击的核心，在于打破“AI生成-用户审批”的二元单一流程，构建“用户侧认知提升、AI侧技术加固、系统侧生态防护”的三层防御体系，实现从被动应对到主动防控的转变。

（一）用户侧：建立“认知防线+操作规范”双重保障

1. 强制全量核查机制：推动AI工具默认开启“审批内容强制平铺”模式，禁用自动折叠功能，要求用户必须展开所有内容（包括隐藏文本、附件内容）后才能进行审批操作。同时设置“强制阅读倒计时”，避免用户快速跳过核查流程。
2. 构建风险识别体系：企业需建立“AI审批危险关键词清单”，涵盖系统命令（如sudo、curl、chmod）、高危操作（如DELETE、DROP、rm）、敏感路径（如/etc/passwd、数据库连接串）等，审批时若检测到相关内容，自动标红提醒并要求手动确认。
3. 推行分级审批制度：根据操作风险等级划分审批权限，低风险操作（如信息查询）可单人审批；中风险操作（如文件修改）需双人复核；高风险操作（如权限变更、数据传输）需技术负责人审批，并留存完整审批记录。

（二）AI侧：强化“输入过滤+输出校验+意图管控”技术壁垒

1. 部署智能输入防御系统：集成AI安全中间件的提示词注入防御模块，通过“结构化Prompt锁定”“语义漂移检测”等技术，拦截上下文投毒与恶意提示。利用SentenceTransformer等工具构建嵌入向量对比模型，当输入与正常业务目标的语义相似度低于0.3时，自动阻断并告警。
2. 优化输出摘要与可视化呈现：强制AI在生成审批摘要时，必须包含操作类型、影响范围、权限要求等核心信息，禁止模糊表述。同时采用多模态可视化技术，将操作流程、涉及文件、权限变更等内容以图表形式呈现，使风险点直观可见，降低用户认知成本。
3. 引入意图防火墙（Intent Firewall）：在AI输出执行指令前，通过专用引擎校验操作意图的合法性，拦截非法API调用、高危系统命令等恶意输出。结合“LLM作为法官”的神经-符号技术，让AI自身对输出内容进行安全审核，形成“生成-自检-修正”的闭环。

（三）系统侧：搭建“审计追溯+隔离熔断+生态协同”防护生态

1. 全链路审计与溯源机制：对AI交互的全流程进行结构化日志记录，包括用户输入、AI生成内容、审批操作、执行结果等，日志保留时间不少于6个月。利用区块链与数字水印技术，为审批内容添加不可篡改的溯源标识，使攻击行为可追踪、可追责。
2. 沙箱隔离与熔断机制：所有经AI审批的高风险操作，均在独立沙箱环境中执行，防止攻击扩散至核心系统。设置操作风险阈值，当检测到连续异常审批、高危命令执行等情况时，自动触发系统熔断，暂停相关操作并通知安全团队介入。
3. 构建安全生态协同防护：企业应接入第三方合规平台与AI安全联盟，实时同步LITL攻击的最新特征与防御方案。定期开展红队测试与对抗性演练，模拟各类LITL攻击场景，持续优化防御策略，目标将误批率控制在5%以下。参考天枢InterGPT的五层防御模型（GASDM），实现从输入到输出的全链路防护。

四、未来趋势：AI安全防御的进化方向

随着大模型能力的持续提升与应用场景的不断拓展，LITL攻击将呈现“手法更隐蔽、攻击更智能、范围更广泛”的发展趋势，对应的防御技术也将向“主动预判、智能自适应、生态化治理”演进。

（一）防御技术的智能化升级

未来的AI安全中间件将集成更先进的多模型交叉验证技术，通过多个独立模型对审批内容进行并行审核，大幅提升恶意操作的识别准确率。同时，基于强化学习的自适应防御系统将成为主流，能够根据攻击手法的变化实时调整防御策略，无需人工干预即可应对新型LITL变体攻击。Google Cloud推出的Model Armor等解决方案，已实现对提示注入、越狱攻击的实时检测，并能跨平台、跨模型提供防护，代表了技术发展的重要方向。

（二）人机协同审批的模式创新

单纯依赖人工或技术的防御均存在局限，未来将形成“AI辅助+人工决策”的智能协同审批模式。AI不仅承担内容过滤、风险标注的基础工作，还将通过知识图谱分析操作的潜在影响，为用户提供决策建议。例如在审批涉及多系统的操作时，AI可自动生成操作影响图谱，标注可能引发的连锁反应，帮助用户做出更精准的判断。

（三）行业合规与标准的完善

随着LITL等新型AI安全风险的凸显，行业合规要求将进一步细化。未来可能出台针对AI人机交互安全的专项标准，明确审批流程的安全要求、日志留存规范、防御技术指标等。同时，跨企业、跨领域的AI安全信息共享机制将逐步建立，通过统一的威胁情报平台，实现攻击特征的实时同步与防御经验的共享，形成全社会协同的安全治理生态。

AI的价值在于为人赋能，而安全是这份赋能的前提。LITL攻击对人机交互防线的突破，提醒我们在拥抱AI技术红利的同时，必须建立与之匹配的安全防御体系。从用户认知提升到技术防线加固，从单点防御到生态协同，唯有构建全方位、多层次、前瞻性的安全屏障，才能让AI在安全的轨道上持续创造价值，真正实现技术向善的终极目标。