每次我参与有关即时注入的在线讨论时,不可避免地会有人争辩说,99% 的时间有效的缓解措施仍然是值得的,因为不存在 100% 保证有效的安全修复程序。
我不认为这是事实。
如果我使用参数化的 SQL 查询,我的系统将 100% 免受 SQL 注入攻击。
如果我在应用这些时犯了错误并且有人向我报告,我可以修复该错误,现在我恢复到 100%。
如果我们针对 SQL 注入的措施仅有 99% 的有效性,那么我们涉及关系数据库的所有数字活动都将是不安全的。
我认为,想要一个在正确应用的情况下 100% 有效的安全修复程序并不是不合理的。
(我于 2022 年 9 月在《不能用更多的人工智能来解决人工智能安全问题》中首次提出了这一版本。)
原文: https://simonwillison.net/2025/Jun/16/100-percent/#atom-everything