当 AI 帮你查数据的时候，谁在帮攻击者查你的数据？

Context

先说说什么是 Data Agent

企业里越来越多的数据分析工作交给了 LLM 驱动的数据 Agent，连接数据库、执行 SQL、生成报告、多步骤工作流编排，一条龙完成。

Databricks 的 Genie，Snowflake 的 Cortex，Google 的 BigQuery AI，都是这个路线。开源框架更多，DataInterpreter、DB-GPT、DeepAnalyze、LAMBDA，覆盖了从查询到统计分析到可视化到报告生成的全流程。

这类系统有个统一的名字：Data Agent。它跟普通聊天机器人的本质区别在于，LLM 不只是生成文本，而是充当一个协调者，自主决定查什么数据、调什么工具、怎么拆解分析步骤、怎么把中间结果合成最终输出。它有数据库的执行权限，有工具调用能力，有多步推理的自主性。

这篇论文要说的是：这类系统的安全漏洞，既不同于传统数据库安全，也不同于通用 LLM 安全，而是两者交叉产生的全新攻击面。没有人系统地问过，这个 Agent 能被欺骗做什么。

Key Finding

单条查询无害，组合起来就泄密

论文里有一个例子讲得很清楚。

Data Agent 回答问题是通过多步分析过程完成的。攻击者可以利用这个分析过程本身作为攻击向量。每一条查询单独看都是合法的，但组合在一起就可能暴露出任何单条查询都不会泄露的敏感信息。这种风险是 Data Agent 特有的：传统数据库的访问控制机制可能会漏掉这种「累积泄露」，而处理非结构化文本的通用 LLM Agent 根本不会遇到同样的查询驱动通道。

这是整篇论文最核心的洞察。传统数据库安全关注的是单次查询的权限控制，通用 LLM 安全关注的是文本生成的对齐问题。Data Agent 两头都不完全覆盖，因为它的风险来自 LLM 推理和数据库执行之间的反复交互，来自多步分析的组合效应。

Framework

三层漏洞，八类风险

研究团队提出了一个分层漏洞框架，把 Data Agent 的安全风险拆解为三个层面：

解释层 Interpretation

LLM 理解用户意图并生成分析计划的环节。攻击者可以通过精心措辞的自然语言请求，诱导模型生成看似合理但实际上会暴露敏感数据的查询计划。模型对用户意图的「善意推断」，在安全语境下反而成了弱点。提示注入（prompt injection）在这里有了新的变种：不是让模型说出不该说的话，而是让模型写出不该写的 SQL。

执行层 Execution

生成的 SQL 或 Python 代码在数据库上实际运行的环节。具体风险包括：SQL 注入（Agent 生成的查询被污染）、代码执行逃逸（Python 分析脚本突破沙箱）、工具滥用（Agent 调用的分析工具被用于非预期用途）。Data Agent 可以迭代执行查询，根据中间结果调整下一步，攻击者可以在多轮对话中逐步引导 Agent 接触越来越敏感的数据区域，每一步看起来都合理。

策略层 Policy

访问控制和数据治理规则的执行环节。具体风险包括：访问控制绕过、数据泄露、权限提升。传统权限系统是为直接的 SQL 查询设计的，不是为 AI 驱动的多步分析流程设计的。当 Agent 自主决定查询路径时，细粒度的权限边界可能被绕过，行级和列级的管控在多步组合查询面前可能形同虚设。

在这三层之下，研究者识别出了八类具体的安全风险。

Attack Matrix

3 个目标，7 种战术，14 种技术

论文构建了一套完整的攻击分类矩阵，按三个维度组织：

攻击目标（为什么攻击）：

目标	含义
数据外泄 Data Exfiltration	通过 Agent 的分析能力窃取数据库中的敏感数据，可能是客户记录、财务信息、个人隐私
系统破坏 System Disruption	利用 Agent 的执行权限破坏数据完整性或服务可用性，比如篡改数据、耗尽计算资源
隐私侵犯 Privacy Violation	即使不直接窃取原始数据，也能通过 Agent 的分析推断出不应被知晓的个人隐私信息

在目标之下，研究者梳理了 7 种攻击战术和 14 种具体攻击技术，覆盖了从 SQL 注入到提示注入，从直接攻击到跨步骤组合攻击的完整谱系。更值得关注的是，论文配套开发了一条基于 LLM 的攻击载荷自动生成流水线，能根据真实数据库 schema 自动生成针对性的攻击 payload。换句话说，攻击手段本身也在被 AI 加速。

Experiment

测了谁，结果怎么样

研究团队在 6 个系统上做了实验：4 个开源 Data Agent 框架，加上 2 个生产级云分析服务。

结果很直接：现有系统存在实质性安全漏洞。开源与商业系统均未能抵御全部攻击类别。这不是某一家的问题，而是整个品类的系统性问题。论文给出了四条关键发现，考虑到测试覆盖了从开源框架到正在被企业客户使用的商用服务，这个结果有行业级的代表性。

值得注意的是数据维度上的差异。关系型数据库跟通用 LLM Agent 处理的文档、网页、文件相比，有几个安全相关的特殊性：数据量大且高度结构化，恶意内容可以藏在表格单元、schema 注释或元数据里，Agent 很难区分对抗性证据和正常数据；数据库存储的往往是客户记录、财务交易等敏感信息，一旦泄露后果不同于一般文本内容。

论文还指出了一个有意思的盲区：现有研究要么关注传统数据库安全（聚焦查询执行、访问控制、数据完整性），要么关注通用 LLM Agent 安全（聚焦文本推理的安全策略）。两边的方法论都不能完整覆盖 Data Agent 的风险，因为它的风险恰恰来自两个组件之间的交互。

So What

跟我们有什么关系

如果你在用或者在搭建 AI 数据分析工具。这篇论文是一个很好的安全审计清单来源。三层漏洞框架可以直接拿来检查你的系统在解释、执行、策略三个环节分别有没有防护，14 种攻击技术可以作为红队测试的参考。

如果你是数据工程师或 DBA。传统的行级、列级权限控制在 Data Agent 场景下可能不够用。当 AI 自主决定查询路径和分析步骤时，权限模型需要升级，要能理解多步查询的组合语义，而不只是逐条审批。这是一个值得跟安全团队讨论的方向。

如果你关注 AI Agent 的趋势。这篇论文提醒我们，Agent 的安全问题不只是「别让它说有害内容」或「别让它被 prompt injection 攻击」。当 Agent 接入了真实的数据源和执行环境，安全问题的形态会发生质变。分析过程本身成为攻击面，这个视角在之前的 Agent 安全文献里讨论得不多。

一句话总结：企业正在把敏感数据库的查询权限交给 LLM Agent，但保护这些数据的安全机制还停留在 Agent 出现之前的设计范式里。从 SQL 注入到提示注入，从直接攻击到跨步骤组合，数据 Agent 可能是下一个被大规模攻击的目标。这篇论文把这个缺口量化了出来。

论文信息：Kuncan Wang, Ziting Wang, Peizhuo Lv, Haoyang Li, Guoliang Li, Gao Cong, Wei Dong. "Data Agents Under Attack: Vulnerabilities in LLM-Driven Analytical Systems." 南洋理工大学、香港理工大学、清华大学。2026 年 6 月 7 日。
arxiv.org/abs/2606.08661

源于生活，立足应用。

实用 > 炫酷 · 能用 > 能看

AI Digest by Syneira