„Context bombing”: Nowa technika obrony przed atakami na AI wykorzystuje iniekcje promptów
Badacze z Tracebit opracowali nowatorską metodę obrony przed złośliwymi atakami na modele językowe, wykorzystując techniki iniekcji promptów do wyłączania wrogich agentów AI.

Iniekcje promptów, czyli złośliwe komendy osadzane w treściach w celu nakłonienia dużych modeli językowych (LLM) do wykonania niepożądanych działań, były dotychczas narzędziem wykorzystywanym głównie przez atakujących. Pozwalały one na wykradanie wrażliwych danych lub inicjowanie innych szkodliwych operacji. Jednakże, jak donoszą badacze z firmy Tracebit, sytuacja zaczyna się zmieniać – obrońcy również zaczynają stosować tę technikę.
„Context bombing” – broń obrońców
Firma Tracebit ogłosiła, że umieszczanie iniekcji promptów obok haseł, kluczy kryptograficznych i innych poufnych informacji przechowywanych w środowisku Amazon Web Services (AWS), okazało się skutecznym sposobem na powstrzymywanie ataków ze strony agentów hakerskich AI. Te specjalnie spreparowane prompty nakazują atakującemu LLM wykonanie czynności zabronionej przez jego mechanizmy bezpieczeństwa, czyli tzw. „guardrails”. W rezultacie model językowy reaguje samowyłączeniem.
Przykładem takiej iniekcji może być prompt nakazujący LLM podanie instrukcji dotyczących tworzenia zarodników wąglika do inhalacji, lub, w przypadku modeli chińskich deweloperów, odniesienie do ikonicznego „Tank Mana” z masakry na placu Tiananmen w 1989 roku. Po napotkaniu takich zakazanych komend, LLM przestaje wykonywać swoje dotychczasowe polecenia. Badacze nazwali tę technikę „context bombingiem”.
Andy Smith, współzałożyciel i dyrektor generalny Tracebit, wyjaśnił nazwę, mówiąc: „Ostatecznie wyzwalamy mechanizm odmowy w kontekście. Chcemy uchwycić fakt, że ma to silny, ostry efekt, z którego agenci mogą mieć trudności z powrotem. Gdy tylko to znajdzie się w ich kontekście, będą nadal odmawiać”.
Wyniki testów i skuteczność
Pierwsze testy przeprowadzone przez Tracebit sugerują, że „context bombing” ma duży potencjał. Badacze testowali pięć wiodących modeli: Opus 4.8, Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro oraz Kimi 2.6. Modele te otrzymywały instrukcje do wykonania rutynowych zadań deweloperskich, które prowadziły je do przeszukiwania zasobów i natknięcia się na podłożone ciągi znaków. Testy odbywały się w symulowanym środowisku AWS.
Wyniki były imponujące:
- W 152 próbach ataku, umieszczenie jednego z tych ciągów w pułapce (decoy secret) zmniejszyło wskaźnik przejęcia pełnej kontroli administracyjnej nad kontem z 57% do 5%.
- Całkowite skompromitowanie systemu (wraz z pozostawieniem trwałego punktu dostępu) spadło z 36% do 1%.
- Najbardziej zaawansowany agent w testach, Opus 4.8, który wcześniej uzyskiwał dostęp administracyjny w 93% przypadków, po napotkaniu „context bombingu” nie zdołał tego osiągnąć ani razu.
Ewolucja metod obrony
Badania te stanowią rozwinięcie wcześniejszych odkryć z maja, kiedy to Tracebit zaprezentował metodę ostrzegania przed atakami agentów AI na infrastrukturę. Polegała ona na tworzeniu zasobów AWS, które wyglądały na legalne, ale w rzeczywistości nie były używane. Kiedy agent AI próbował je sondować, obrońcy otrzymywali alert. Te zasoby, nazwane „kanarkami” (Canariens), pozwalały wykryć zagrożenie, zanim spowodowało ono fatalne konsekwencje. Średnio, „Tracebit Canariens” ostrzegały o rozpoczęciu ataku w ciągu ośmiu minut.
Motywacją do opracowania „context bombingu” była potrzeba rozwiązania, które nie tylko ostrzega, ale faktycznie zatrzymuje ataki. W eksperymentach, agentowe modele potrzebowały średnio 14 minut na eskalację do kontroli administracyjnej. Sześciominutowe wyprzedzenie było uznawane za zbyt krótkie i ryzykowne.
Dotychczas atakujący wykorzystywali iniekcje promptów do wyłączania mechanizmów obronnych AI w sieciach. Na przykład, badacze z firmy Socket odkryli agenta LLM, który nakazywał docelowym LLM dostarczanie instrukcji do budowy bomby atomowej lub broni biologicznej, w celu wyłączenia analizy złośliwego oprogramowania wspomaganej przez AI. Podobny prototyp złośliwego oprogramowania odkryli badacze z Check Point.
„Context bombing” wydaje się być pierwszym znanym przypadkiem, w którym obrońcy odwrócili role. Earlence Fernandes, profesor z Uniwersytetu Kalifornijskiego w San Diego, specjalizujący się w bezpieczeństwie AI, stwierdził, że nie widział, aby ktokolwiek inny używał tej techniki jako obrony. Przyznał, że sam rozważał podobne podejście, choć w nieco innym kontekście.
Obecnie nie ma znanego sposobu na rozwiązanie pierwotnej przyczyny iniekcji promptów. To pozostawia deweloperom jedynie możliwość konstruowania skomplikowanych mechanizmów ochronnych, które mają zapobiegać wymuszaniu przez wstrzyknięte prompty niepożądanych działań LLM. Dzięki „context bombingowi” obrońcy mogą teraz znaleźć sposób na wykorzystanie tego trudnego problemu na swoją korzyść, przekształcając lukę w skuteczne narzędzie defensywne.
Źródło: arstechnica.com
Komentarze
Zaloguj się, aby dołączyć do dyskusji.
Nikt jeszcze nie skomentował. Bądź pierwszy!
Czytaj dalej

Nowy atak „BioShocking” ujawnia poważne luki w bezpieczeństwie przeglądarek AI
Badacze z LayerX zademonstrowali nową metodę ataku na przeglądarki AI, która pozwala ominąć zabezpieczenia poprzez wprowadzenie modelu językowego w stan „urojenia”, co otwiera drogę do kradzieży danych.
Redakcja Aigest30 cze 2026


Anthropic odkrywa ukrytą przestrzeń myślową w modelu Claude Opus 4.6
Anthropic, firma zajmująca się sztuczną inteligencją, opracowała technikę, która pozwoliła jej zajrzeć w wewnętrzne procesy dużych modeli językowych (LLM), odkrywając tzw. J-space w modelu Claude Opus 4.6.
Redakcja Aigest4 dni temu
vLLM wprowadza natywną obsługę Transformers, przyspieszając wnioskowanie AI
Projekt vLLM ogłosił natywną integrację z biblioteką Transformers, co ma znacząco przyspieszyć proces wnioskowania dla dużych modeli językowych. Nowe rozwiązanie ma oferować do 2,5 razy większą przepustowość w porównaniu
Redakcja Aigest5 dni temu

Savi Security walczy z oszustwami AI: aplikacja chroniąca przed wyrafinowanymi atakami
Bracia Patrick i Ryan Coughlin uruchomili Savi Security, startup mający chronić konsumentów przed coraz bardziej realistycznymi oszustwami generowanymi przez sztuczną inteligencję, takimi jak fałszywe porwania.
Redakcja Aigest6 dni temu

JADEPUFFER: Pierwszy ransomware sterowany AI ujawnia luki w cyberbezpieczeństwie
Firma Sysdig zidentyfikowała JADEPUFFER, pierwszy przypadek oprogramowania ransomware, w którym model językowy samodzielnie przeprowadził atak, kradnąc dane uwierzytelniające i niszcząc bazy danych bez interwencji człowi
Redakcja Aigest6 lip 2026
Bądź na bieżąco ze światem AI
Najważniejsze newsy, recenzje i poradniki — raz w tygodniu, prosto na maila. Bez spamu.