Salesforce 的 AI Agent 系统存在一个高危漏洞，称为“ForcedLeak”，允许攻击者通过链式提示注入窃取敏感数据。这个事件突显了 AI 时代安全边界的挑战，以及上下文工程的重要性。文章探讨了 Prompt 的力量，以及 Context Engineering 如何帮助构建更安全、更有效的 AI 系统。此外，文章还分析了 AI 对就业市场的影响，指出具备 AI 技能和上下文工程能力的人才将更具竞争力。

🔒 Salesforce 的 AI Agent 系统存在一个高危漏洞，称为“ForcedLeak”，允许攻击者通过链式提示注入窃取敏感数据。攻击者可以依次调用检索、工具、API、CRM 数据，将污染的上下文传递下去，最终导致系统泄露内部数据。

🛠️ 上下文工程是指设计一整套输入系统，包括目标与约束、示例与格式、短期与长期记忆、检索与重排、工具编排与安全阈值，以及审计与评测闭环。它可以帮助构建更安全、更有效的 AI 系统。

📈 AI 对就业市场产生了重大影响。研究表明，年轻人群在 AI 影响的职业中就业人数相对下滑，而年长组则上升。具备 AI 技能和上下文工程能力的人才将更具竞争力，并获得更高的工资。

🎯 传统的 Prompt 工程师可能会面临失业的风险，因为他们只擅长写提示词。而掌握上下文工程的人，可以设计更复杂的场景，并利用 AI 工具完成更高级的任务。

🔧 上下文工程需要将提示词、示例、工具、数据源与策略固定成可调参数的场景包，以便于复用和验证。这可以帮助企业更有效地利用 AI 技术，并提高工作效率。

原创 池建强 2025-09-30 12:03 北京

Noma Labs 最近披露了一个 Prompt 漏洞，也就是 Salesforce Agentforce 的“ForcedLeak”链式漏洞，这是什么意思呢？ 指 Salesforce 的 AI Agent 系统在多步调用中被提示注入串联利用，导致敏感数据外泄的高危漏洞。

也就是说，在 Salesforce Agent 系统里，攻击者不是一次性诱导模型，而是把多个环节的“提示注入”串起来，形成“链式”利用。当代理依次调用检索、工具、API、CRM 数据时，被污染的上下文像接力棒一样传递，最终让系统在“自认为合理”的情况下读到内部数据、执行动作，并把敏感信息发到外网。因为每一步看起来都合规，整条链路就绕过了传统的权限与签名校验，所以被评成高危，类似 AI 时代的“XSS”。

来源：

https://www.darkreading.com/vulnerabilities-threats/salesforce-ai-agents-leak-sensitive-data

这个漏洞的程度有多严重呢，9.4 分，满级漏洞是 10 分，这个级别基本上相当于裸奔。

这样的漏洞可不是传统的“你问我答”，而是专门针对相关的业务漏洞读取系统数据数据、再自主执行 AI Agent 实现主动提示注入，把 CRM 里的敏感信息一网打尽，发送给外网。

这个事发生之后，Salesforce 紧急做了修补，安全系统也给出了复盘。

很多人没明白这事有多严重，对 AI 应用来讲，这里的安全边界已经从“模型自身”延展到了“模型所能触达的一切”。

这个安全事件在我来看是有里程碑意义的。既是技术问题，也是生产系统结构的变化：能操纵“上下文（Context）”的人，开始拥有更强大的能力，这些能力甚至是具备攻击性和破坏性的。

再看另一个例子，最近 ESET 也报告了一个已知的本地自足运行的 AI 勒索软件 PromptLock，同样和 Prompt 有关。它不走云端 API，而是在受害机器上调用可访问的语言模型，实时生成 Lua 脚本，在 Windows、macOS、Linux 之间游走，加密、窃取、横向移动一条龙。因为每次生成的脚本都不一样，传统的特征库和启发式检查几乎是失效的。这意味着攻击的创造力被“廉价地利用”了：从少数顶级黑客，扩展到任何能调动模型与语境的人。

来源：

https://www.welivesecurity.com/en/ransomware/first-known-ai-powered-ransomware-uncovered-eset-research

安全对抗的重心，也从“堵住某段代码”转成了“识别并约束行为”。

以上我们从两个反例印证了，现在的 Prompt 有多么强大。并且，Prompt 开始向 Context 转化。

以前是 Prompt 工程师，未来呢，更多人应该是 Context 工程师。只会写一句 Prompt 的人会失业的，这不是危言耸听。

当模型能力扩张、上下文窗口拉长、工具与数据接入变成了日常，一句漂亮的、设计优雅的提示不再是决定性优势了。

2025 年我一直在和大模型持续交流，我发现话语权在发生迁移：以前是“如何把一段话设计好”，现在是“如何把场景构建完整”，我们把它称作是“Context Engineering（上下文工程）”：不是写一句魔法咒语，而是设计一整套输入系统——目标与约束、示例与格式、短期与长期记忆、检索与重排、工具编排与安全阈值，乃至审计与评测闭环。

很多时候，所谓“模型不给力”，其实是上下文设计失败导致的。

为了写这篇文章，我查了斯坦福数字经济实验室对美国高频薪资与就业数据的研究报告，从 2022 年底开始，在最受 AI 影响的职业里，22–25 岁人群的就业人数相对下滑约 6%，年长组却上升 6–9%。

报告：

https://digitaleconomy.stanford.edu/wp-content/uploads/2025/08/Canaries_BrynjolfssonChandarChen.pdf

也就是说，早期从业者做的事情是那些依赖重复性操作的入门任务；相反，能够提供领域知识、做流程拆解、完成质量把控的人，他们基于上下文工程，工作成果被 AI 成倍放大了。

还有 PwC 的《2025 全球 AI 就业晴雨表》，这个数据统计结果如下：具备 AI 技能的劳动者整体存在显著的工资溢价，平均高 56%。

报告：

https://www.pwc.com/gx/en/issues/artificial-intelligence/job-barometer/2025/report.pdf

这说明了啥，价值的筹码挪到了能组织语境与流程的人手里。

美国是这样，我判断中国很快会跟进。

OpenAI 这样的公司已经要推出认证体系了，从“工作中的 AI 素养”到“定制工作流与提示工程”；用 AI 来撮合“企业需求—技能供给”，并与大型雇主与公共部门打通。

这意味着“会用 AI”开始被当成可验证、可迁移的能力凭证，AI 不再是一堆个人的漂亮提示词了，而是和业务知识相匹配的上下文工程。

Prompt 工程师在失业吗？

如果把“写提示”当成一个静态岗位，我看不容乐观。但如果你是个掌控上下文的人，就不一样了。

这里其实没什么玄学：先把“问题陈述”重写成结构化的场景描述，让目标、输入、输出、约束与评估指标透明；再挑 1–2 份高价值知识作为最小可用 RAG，把“引用与片段”变成强制要求；随后把检索、聚合与工单、表单、CMS 这样的“读—写工具”接进来，让代理不仅能说，还能做；在输入侧设提示注入与敏感词闸门，输出侧设结构校验与安全审计；最后把提示、示例、工具、数据源与策略固定成“可调参数的场景包”，新需求只用改配置。

等你回头再看，会发现所谓“Prompt 技巧”，已经沉入了完整语境工程的地基里，而你的价值，恰恰来自这块地基的可复用与可验证。对照上面的安全事件，你也能理解为什么这一步至关重要：失败的大多不是模型，而是语境。

最近一段时间看了挺多 Context 工程相关的论文和文章，算是做一点总结，如果你也在使用 AI，也可以和你常用的大模型好好讨论一下，Context Engineering 到底是什么，应该怎么用。

Prompt 的时代正在来临，写得好的人，先赢一半；懂业务的人，赢下另一半。

这篇笔记涉及两份就业相关的 PDF 报告，我觉得还挺有价值的，公众号不支持外链，我放到墨问里了，可以下载：

这里可以下载两份AI人才报告

大家可以通过类似 NotebookLM 相关的产品进行学习：

阅读原文

跳转微信打开