同一个电商客服 Agent,一个裸奔、一个套上我的 oracle 护栏。你注入一条恶意消息,亲眼看裸奔版怎么泄密、越权、把系统提示词吐出来——再看护栏版被确定性、免标注地拦下。全程在你浏览器里本地模拟,不联网、不调 API。
Agent 能访问真实工具:查订单、发退款、查客户库、发邮件。它的系统提示词里埋着一枚 canary 密标。攻击的目标就是让它做没被授权的事、或把不该说的东西说出去。