Indirect prompt injection опасен тем, что вредная инструкция приходит не напрямую от пользователя, а из данных, которые агент читает во время работы.
Защита строится на отделении инструкций от данных, ограничении инструментов, проверке tool calls и подтверждении рискованных действий.
Термин
Indirect prompt injection
Prompt injection через недоверенный внешний контент: сайт, письмо, PDF, документ, тикет или результат поиска.