Skip to content

博客与长文

下面是按”对应 ToLO 章节”和”什么时候读它”组织的博客清单。

Layer 2 资源:质量较高但不是学术论文,适合建立直觉了解最新工程动态。事实级别引用仍要回到原始 advisory / 论文。

怎么用这一页

每条按以下格式:

**标题** — 作者,年份
- 链接
- 一句中文摘要
- 对应章节(站内链接)
- 什么时候读:学完哪些站内章节后读这篇,会得到什么

第一系列:Simon Willison(prompt injection 直觉系列)

Simon Willison 是早期持续讨论 prompt injection 的独立研究员,博客读起来不费力,适合学完 先修知识 后第一批读

Prompt injection attacks against GPT-3 — Simon Willison, 2022

Prompt injection: What’s the worst that can happen? — Simon Willison, 2023

The Dual LLM pattern for building AI assistants that can resist prompt injection — Simon Willison, 2023

Delimiters won’t save you from prompt injection — Simon Willison, 2023

第二系列:Johann Rehberger(间接注入 / MCP / 工具劫持)

Johann Rehberger 是 LLM 应用 red team 领域的代表实验者,演示真实产品攻击。他的博客适合学完通道理论后看实际操作

AI Injections: Direct and Indirect Prompt Injections and Their Implications — Johann Rehberger, 2023

Indirect Prompt Injection via YouTube Transcripts — Johann Rehberger, 2023

ZombAIs: From Prompt Injection to C2 with Claude Computer Use — Johann Rehberger, 2024

MCP: Untrusted Servers and Confused Clients, Plus a Sneaky Exploit — Johann Rehberger, 2025

第三系列:OWASP / 行业标准

LLM05:2025 Improper Output Handling — OWASP Gen AI Security Project, 2025

阅读顺序建议

完全新读者:

  1. Simon Willison “Prompt injection attacks against GPT-3”(2022)— 5 分钟,建立词汇
  2. Simon Willison “Worst that can happen”(2023)— 后果直觉
  3. Johann Rehberger “Direct and Indirect basics”(2023)— C1/C2 区分
  4. Simon Willison “Delimiters won’t save you”(2023)— 看为什么粗糙防御不够
  5. Simon Willison “Dual LLM pattern”(2023)— 第一次看到 capability 思路
  6. Johann Rehberger “ZombAIs”(2024)— 看真实端到端 ToLO 链条
  7. Johann Rehberger “MCP risks”(2025)— 最新 MCP 生态实战
  8. OWASP “LLM05:2025”— 最后看行业清单

读完这 8 篇 + 站内 [01-04 章],可以转去读 Papers

维护说明

新增博客条目时,需要写清楚:

  • 标题、作者、年份
  • 一句中文摘要(说作者的论点 + 它和 ToLO 的关系)
  • 对应章节(站内具体某一章 / 某一节)
  • 什么时候读(前置章节 + 读完能获得什么)

如果一条博客没法对应到具体章节说不出”读完获得什么”,不要收录。本站不做泛 AI 安全资源库。