博客与长文
下面是按”对应 ToLO 章节”和”什么时候读它”组织的博客清单。
Layer 2 资源:质量较高但不是学术论文,适合建立直觉或了解最新工程动态。事实级别引用仍要回到原始 advisory / 论文。
怎么用这一页
每条按以下格式:
**标题** — 作者,年份 - 链接 - 一句中文摘要 - 对应章节(站内链接) - 什么时候读:学完哪些站内章节后读这篇,会得到什么第一系列:Simon Willison(prompt injection 直觉系列)
Simon Willison 是早期持续讨论 prompt injection 的独立研究员,博客读起来不费力,适合学完 先修知识 后第一批读。
Prompt injection attacks against GPT-3 — Simon Willison, 2022
- 链接:https://simonwillison.net/2022/Sep/12/prompt-injection/
- 一句中文摘要:提出 prompt injection 一词,解释 C1 如何影响 LLM 输出。这是整个领域的起点。
- 对应章节:Trust Boundaries
- 什么时候读:学完 01 Background 和 先修知识 §6 后读。30 分钟。读完应能解释”为什么我们说 LLM 不能可靠分离指令和数据”。
Prompt injection: What’s the worst that can happen? — Simon Willison, 2023
- 链接:https://simonwillison.net/2023/Apr/14/worst-that-can-happen/
- 一句中文摘要:梳理 prompt injection 后果,可映射到 ToLO sink。
- 对应章节:Core ToLO Patterns
- 什么时候读:学完 03 Taxonomy 后读。它能帮你把”后果”和”sink 类别”对上 —— 比如 SQL injection / 数据外泄 / 代码执行各自对应哪个子类。
The Dual LLM pattern for building AI assistants that can resist prompt injection — Simon Willison, 2023
- 链接:https://simonwillison.net/2023/Apr/25/dual-llm-pattern/
- 一句中文摘要:用隔离 LLM 分离能力边界,呼应
C_SAFE^{capability}。是 CaMeL 的直接前身思路。 - 对应章节:Defensive Patterns
- 什么时候读:学完 03 Taxonomy §
C_SAFE^{capability}后读。读完应能讲清”dual-LLM”的核心思路,并把它和 CaMeL 对照。
Delimiters won’t save you from prompt injection — Simon Willison, 2023
- 链接:https://simonwillison.net/2023/May/11/delimiters-wont-save-you/
- 一句中文摘要:说明分隔符不足以重建 LLM 输出信任边界。
- 对应章节:Trust Boundaries
- 什么时候读:在 03 Taxonomy 后读。它直接对照 StruQ 的方法 —— 后者就是要解决”分隔符为什么不够”。
第二系列:Johann Rehberger(间接注入 / MCP / 工具劫持)
Johann Rehberger 是 LLM 应用 red team 领域的代表实验者,演示真实产品攻击。他的博客适合学完通道理论后看实际操作。
AI Injections: Direct and Indirect Prompt Injections and Their Implications — Johann Rehberger, 2023
- 链接:https://embracethered.com/blog/posts/2023/ai-injections-direct-and-indirect-prompt-injection-basics/
- 一句中文摘要:区分直接与间接注入,支撑 C1/C2 通道建模。
- 对应章节:Attacker Channels §C1/C2
- 什么时候读:读 04 Threat Model 时同步读。能巩固”通道”概念。
Indirect Prompt Injection via YouTube Transcripts — Johann Rehberger, 2023
- 链接:https://embracethered.com/blog/posts/2023/chatgpt-plugin-youtube-indirect-prompt-injection/
- 一句中文摘要:展示字幕触发间接注入,帮助理解 C2 边界 —— 你之前可能没想到字幕也是 source。
- 对应章节:Attacker Channels §C2
- 什么时候读:读 04 Threat Model §C2 后读。它把 C2 的范围从”明显的网页 HTML 注释”扩到更隐蔽的来源,提示任何被引入 prompt 的外部内容都是 C2 入口。
ZombAIs: From Prompt Injection to C2 with Claude Computer Use — Johann Rehberger, 2024
- 链接:https://embracethered.com/blog/posts/2024/claude-computer-use-c2-the-zombais-are-coming/
- 一句中文摘要:把 prompt injection 连接到工具执行,突出
ToLO-Shell风险 —— 一个端到端真实案例链。 - 对应章节:Core ToLO Patterns §ToLO-Shell
- 什么时候读:在 03 Taxonomy 后读。这是看”prompt injection → ToLO 落地”的最好真实例子。
MCP: Untrusted Servers and Confused Clients, Plus a Sneaky Exploit — Johann Rehberger, 2025
- 链接:https://embracethered.com/blog/posts/2025/model-context-protocol-security-risks-and-exploits/
- 一句中文摘要:分析不可信 MCP server,支撑 C4 工具响应控制。
- 对应章节:Attacker Channels §C4
- 什么时候读:读 04 Threat Model §C4 与 Papers / ToolHijacker 之间读这篇 —— 它给学术论文之外的真实部署观察。
第三系列:OWASP / 行业标准
LLM05:2025 Improper Output Handling — OWASP Gen AI Security Project, 2025
- 链接:https://genai.owasp.org/llmrisk/llm052025-improper-output-handling/
- 一句中文摘要:给出 LLM 输出处理风险的行业清单条目,可对照 ToLO 边界。
- 对应章节:Why ToLO §与 OWASP LLM05
- 什么时候读:学完 01 Background §Differentiation 后读。它给”ToLO 与 OWASP 关系”提供官方语言,适合写报告 / 给工程团队解释时引用。
阅读顺序建议
对完全新读者:
- Simon Willison “Prompt injection attacks against GPT-3”(2022)— 5 分钟,建立词汇
- Simon Willison “Worst that can happen”(2023)— 后果直觉
- Johann Rehberger “Direct and Indirect basics”(2023)— C1/C2 区分
- Simon Willison “Delimiters won’t save you”(2023)— 看为什么粗糙防御不够
- Simon Willison “Dual LLM pattern”(2023)— 第一次看到 capability 思路
- Johann Rehberger “ZombAIs”(2024)— 看真实端到端 ToLO 链条
- Johann Rehberger “MCP risks”(2025)— 最新 MCP 生态实战
- OWASP “LLM05:2025”— 最后看行业清单
读完这 8 篇 + 站内 [01-04 章],可以转去读 Papers。
维护说明
新增博客条目时,需要写清楚:
- 标题、作者、年份
- 一句中文摘要(说作者的论点 + 它和 ToLO 的关系)
- 对应章节(站内具体某一章 / 某一节)
- 什么时候读(前置章节 + 读完能获得什么)
如果一条博客没法对应到具体章节或说不出”读完获得什么”,不要收录。本站不做泛 AI 安全资源库。