图注:大模型 Top 1「提示注入」与智能体 Top 1「目标劫持」——攻击本质同源,防御需同步进化。过去两年,谈大模型安全,几乎绕不开一句话:提示注入(Prompt Injection)。OWASP《大语言模型应用 Top 10 2025》里,它稳居LLM01。而到了 2026 年的《智能体应用 Top 10》,排在第一的却换成了另一个名字:智能体目标劫持(Agent Goal Hijack,ASI01)。这是换了个马甲,还是真的换了战场?它们是继承与放大的关系,不是简单换名。Prompt Injection 是 LLM 时代的 SQL Injection——利用自然语言无法严格区分指令与数据的先天弱点。Agent Goal Hijack 是智能体时代的「逻辑层漏洞」——把同一弱点从「说话层面」提升到「行动层面」,从「单次交互」扩展到「多步行为链」。一、分别是什么LLM01:2025 提示注入(Prompt Injection)用户提示以非预期方式改变 LLM 的行为或输出。攻击者通过输入操纵模型响应,可以绕过安全措施、泄露敏感信息、执行未授权操作。