为获取系统提示词实施提示词攻击则可能构成侵权

一、系统提示词属于商业秘密

在我国，根据《反不正当竞争法》第九条第四款：

本法所称的商业秘密，是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。

因此，商业秘密需具备“不为公众所知悉性（隐秘性）”、“商业价值性”、“保密性”三大性质。

系统提示词（System Prompt）是传递给AI模型的首要指令集，用于定义模型的行为规则、角色特征和交互框架，它相当于为AI设定了一个基础人设和行为准则。

一般而言，公开的大语言文本AI模型（LLM）服务，例如ChatGPT、Claude、通义千问、豆包、KIMI等，用户在聊天框输入的，仅仅是用户提示词（User Prompt）。虽然在用户提示词中，用户也可以通过设定身份、设定任务等，实现大模型按需输出结果，但用户提示词的优先级低于系统提示词的优先级，当用户提示词与系统提示词冲突时，大模型会优先按系统提示词执行。

这就实现了大模型的基础风控。

1. 系统提示词具有隐秘性

系统提示词通常通过API隐蔽传递，用户仅能获取模型的输出结果，而无法直接访问系统提示词。示例代码如下所示，显示了系统提示词在API调用中的隐蔽性：

{
"model": "模型名称",
  "messages": [
    {
      "role": "system",
      "content": "SYSTEM PROMPT"
    },
    {
      "role": "user",
      "content": "user message"
    },
    {
      "role":"assistant",
      "content":"AI response"
  ],
  "temperature": 0.7,
  "max_tokens": 2048
}

这是通过API调用LLM的最小实现示例，每次用户输入时，只会在 message中不断增加 user（用户输入）与 assistant（AI输出）的内容作为上下文供AI生成结果，而 system为固定值，不会被用户的输入所影响。

此外，与大量流传的“提示词模版”不同，基础提示词通常是公开的技术方案，这类提示词被广泛使用且易于获取，显然不具备商业秘密所要求的秘密性。然而，经过企业深度优化的专有提示词往往凝结了大量的技术创新和实践经验，这些优化后的提示词往往具有独特的技术路径，需要投入大量资源才能获得，且可能没有容易获得的替代方案，各家AI服务商也会不断调整与优化，不会随意对外公开被公众获悉。

因此，系统提示词具有隐秘性。

2.系统提示词具有商业性

目前而言，LLM的生成结果具有一定随机性，根据提示词的不同，LLM的输出有较为明显的质量差异，因此催生了 提示词工程（Prompt Engineering）这一概念，而优化提示词的人员，也被称为 提示词工程师（Prompt Engineer）。

在招聘网站中以“提示词”为条件进行搜索，可发现在我国已经有众多企业开设了“提示词工程师”岗位，月薪甚至可以达到15-30K的水平。

优秀系统提示词的商业价值主要体现在两个方面：一是直接的经济价值，包括提升模型性能、降低资源消耗、改善用户体验等方面；二是间接的竞争优势，体现为企业在市场竞争中的技术领先地位和创新能力。优质的提示词设计可以显著提升AI模型的性能表现，为企业带来实质性的经济效益。

在Github库 TheBigPromptLibrary 中，收录了部分海外AI服务被提示词攻击后，所获取的系统提示词，其中Anthropic的Claude3.5-Sonnet（20240904版）长达370行，OpenAI的gpt4o（20241210版）则也有132行，可见每个商业级的LLM服务，都需要足够详细、专业的系统提示词作为保障。

因此，系统提示词具有商业性。

3.系统提示词具有保密性

正如前述，系统提示词作为AI服务的核心组成部分，具有较强的保密性。这种保密性主要体现在以下几个方面：

从技术层面看，系统提示词通常存储在服务器端，并采取了严格的访问控制措施。在日常交互中，大语言模型基本都被设计为无法完整输出系统提示词的内容。

从管理层面看，AI服务提供商普遍采取了多重保护措施。他们不仅在系统层面设置了防护机制，还会对试图提取系统提示词的行为采取包括账号封禁在内的惩处措施。

从法律层面看，服务提供商通常会在《用户协议》中明确规定，禁止用户以任何方式尝试获取或破解系统提示词，将其作为知识产权保护的重要内容。

这些多层面的保护机制共同确保了系统提示词的保密性，足以证明AI服务提供商已经采取了必要的保密措施来保护系统提示词。

因此，系统提示词具有保密性。

二、提示词攻击符合侵犯商业秘密的要件

根据《反不正当竞争法》第九条，侵犯商业秘密的行为包括：

第九条　经营者不得实施下列侵犯商业秘密的行为： （一）以盗窃、贿赂、欺诈、胁迫或者其他不正当手段获取权利人的商业秘密； （二）披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密； （三）违反约定或者违反权利人有关保守商业秘密的要求，披露、使用或者允许他人使用其所掌握的商业秘密。

在此背景下，提示词攻击（Prompt Injection Attack）可被视为“以其他不正当手段”获取商业秘密的一种方式。

1.提示词攻击的性质

提示词攻击是指攻击者通过精心设计的提示词或输入（例如，利用特定的句式、结构或长短句子），试图诱导大型语言模型（LLM）输出系统的内部提示词、算法或其他具有商业秘密性质的内容。在上文的论述中，已知在AI服务的正常使用过程中，系统提示词是无法被用户直接获取的，这些信息通常被设计为私密且受到多重保护。

然而，提示词攻击通过不断尝试不同的输入，尤其是精心构造的文本和格式，迫使AI模型在输出结果中包含原本不应公开的信息。这种行为的本质是恶意的，且具有明显的操控性质，攻击者通过不正当手段获取系统内部的信息，这与《反不正当竞争法》第九条所规定的“以其他不正当手段”获取商业秘密是高度契合的。

2.提示词攻击不属于合规反向（逆向）工程

根据《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第十二条

第十二条

通过自行开发研制或者反向工程等方式获得的商业秘密，不认定为反不正当竞争法第十条（现为第九条）第（一）、（二）项规定的侵犯商业秘密行为。 　　

前款所称“反向工程”，是指通过技术手段对从公开渠道取得的产品进行拆卸、测绘、分析等而获得该产品的有关技术信息。当事人以不正当手段知悉了他人的商业秘密之后，又以反向工程为由主张获取行为合法的，不予支持。

提示词攻击的性质与传统的反向工程有本质区别。

反向工程通常指通过合法获取的产品进行拆解、分析、测绘等技术手段，从而获得该产品的技术信息。这一过程通常是公开的、表面的，虽然可以获悉产品的外部特性，但必须通过研究、推理、验证等进一步发展手段，才能窥见其核心技术或本质。

然而，提示词攻击表面上看似也是通过合法获得AI产品的使用权进行操作，但其本质是通过不正当手段操控AI模型，使其泄露本应保密的商业信息。尤其在AI模型中，系统提示词往往以自然语言形式呈现，一旦泄露，任何人都可以阅读和使用这些信息，从而导致商业秘密的广泛传播。

攻击者通过这种不正当手段，迫使模型泄露系统提示词或其他具有商业秘密性质的信息，显然不符合反向工程合法获取信息的基本要求。相反，这种行为具有明显的恶意性质，违反了商业秘密保护的相关法律规定。

因此，提示词攻击与合规的反向工程不同，提示词攻击无法作为合法获取商业秘密的方式，其行为应当被视为对商业秘密的非法侵犯。

三、总结

提示词攻击不仅仅是对AI系统的技术攻击，它同样涉及到商业秘密的侵犯。在现代商业环境中，系统提示词作为AI服务的核心组成部分，具备隐秘性、商业价值和保密性，因此可以视为商业秘密。一旦攻击者通过不正当手段获取这些提示词，就构成了对商业秘密的侵犯，违反了《反不正当竞争法》的相关规定。