本文研究了Handlebars模板引擎在LLM提示构造中的安全风险，特别是三括号插值（{{{x}}}）与双括号插值（{{x}}）对结构角色注入攻击的影响。Handlebars是Microsoft Semantic Kernel默认的提示模板格式，双括号插值会对HTML进行转义，被视为安全默认值；而三括号插值则直接插入原始值。作者通过无模型分析揭示了机制：Handlebars转义会重写尖括号，但保留方括号、冒号和Markdown哈希标记，因此能中和ChatML、Llama-3和XML角色分隔符（存活率0.00），但保留Llama-2 [INST]、遗留的Human:/Assistant:和Markdown ###分隔符（后两者存活率1.00）。随后，作者在七个分隔符家族、两种攻击目标（任务劫持和秘密窃取）和四个模型（GPT-3.5 Turbo、GPT-4o mini、GPT-4.1 mini、Claude Haiku 4.5）上进行了5760次试验，总API成本仅1.63美元。结果显示，GPT-3.5 Turbo在原始和转义试验中分别有97%和91%的概率遵循任务劫持指令，转义保护仅集中在尖括号家族，对冒号和Markdown家族无效；更困难的秘密窃取目标更清晰地暴露了相同的家族交互。Claude Haiku 4.5几乎完全抵抗两种目标。结论是：默认转义仅保护HTML转义恰好覆盖的分隔符方案，对其他方案无保护，无法替代指令与数据的结构分离。该研究揭示了LLM提示工程中的一个系统性安全缺陷，对使用Handlebars或类似模板引擎的AI应用开发者具有重要警示意义。