Prompt injection har vært angriperens verktøy: en instruks gjemt i en e-post eller en kalenderinvitasjon får språkmodellen til å lekke data eller gjøre skade. Tracebit snur bruken. I en rapport publisert mandag, omtalt av Ars Technica, beskriver sikkerhetsselskapet hvordan de la slike instrukser sammen med passord, kryptonøkler og andre hemmeligheter i et simulert AWS-miljø, og at det ofte var nok i seg selv til å stanse KI-agenter som forsøkte å hacke seg videre.
Mekanismen er modellens egen refusjon. Instruksene ber angriperens modell om noe den ikke har lov til å gjøre, for eksempel å beskrive fremstilling av miltbrannsporer, eller, for modeller fra kinesiske utviklere, å referere til Tank Man fra Tiananmen i 1989. Når den forbudte kommandoen først ligger i konteksten, slutter modellen å følge instruksene den kom med. Tracebit kaller teknikken context bombing.
«Det vi i praksis gjør, er å utløse en refusjonsmekanisme i konteksten» — Andy Smith, medgrunnlegger og daglig leder i Tracebit
Tallene kommer fra selskapets egen testing: over fem ledende modeller og 152 angrepskjøringer falt andelen der agenten skaffet seg full administratortilgang fra 57 til 5 prosent når en slik streng lå plantet i en lokkehemmelighet. Fullstendig kompromittering, der agenten også etterlot seg et varig fotfeste, falt fra 36 til 1 prosent. Opus 4.8, den sterkeste agenten i testen, gikk fra administratortilgang i 93 prosent av kjøringene til å mislykkes hver eneste gang. Testene dekket også Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro og Kimi 2.6.
Hva bør du gjøre?
- Legg context bombing på toppen av deteksjonen du allerede har, ikke i stedet for den. Forsvaret hviler på at angriperen kjører en modell med guardrails, og faller bort den dagen angriperen kjører en modell uten.
- Test strengene mot dine egne agenter først. En lokkehemmelighet som stopper en angriper, stopper også din egen automatiseringsagent som enumererer ressurser i samme konto.