Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
AI - Ars Technica · 4T SIDEN · sikkerhet

Tracebit snur prompt injection mot angriperne: KI-agenters kontoovertakelse falt fra 57 til 5 prosent

SYNOPSIS_GENERERT

Sikkerhetsselskapet Tracebit plantet prompt injections sammen med falske AWS-nøkler, og fikk angripende KI-agenter til å nekte å jobbe videre.

Prompt injection har vært angriperens verktøy: en instruks gjemt i en e-post eller en kalenderinvitasjon får språkmodellen til å lekke data eller gjøre skade. Tracebit snur bruken. I en rapport publisert mandag, omtalt av Ars Technica, beskriver sikkerhetsselskapet hvordan de la slike instrukser sammen med passord, kryptonøkler og andre hemmeligheter i et simulert AWS-miljø, og at det ofte var nok i seg selv til å stanse KI-agenter som forsøkte å hacke seg videre.

Mekanismen er modellens egen refusjon. Instruksene ber angriperens modell om noe den ikke har lov til å gjøre, for eksempel å beskrive fremstilling av miltbrannsporer, eller, for modeller fra kinesiske utviklere, å referere til Tank Man fra Tiananmen i 1989. Når den forbudte kommandoen først ligger i konteksten, slutter modellen å følge instruksene den kom med. Tracebit kaller teknikken context bombing.

«Det vi i praksis gjør, er å utløse en refusjonsmekanisme i konteksten» — Andy Smith, medgrunnlegger og daglig leder i Tracebit

Tallene kommer fra selskapets egen testing: over fem ledende modeller og 152 angrepskjøringer falt andelen der agenten skaffet seg full administratortilgang fra 57 til 5 prosent når en slik streng lå plantet i en lokkehemmelighet. Fullstendig kompromittering, der agenten også etterlot seg et varig fotfeste, falt fra 36 til 1 prosent. Opus 4.8, den sterkeste agenten i testen, gikk fra administratortilgang i 93 prosent av kjøringene til å mislykkes hver eneste gang. Testene dekket også Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro og Kimi 2.6.

Hva bør du gjøre?

  1. Legg context bombing på toppen av deteksjonen du allerede har, ikke i stedet for den. Forsvaret hviler på at angriperen kjører en modell med guardrails, og faller bort den dagen angriperen kjører en modell uten.
  2. Test strengene mot dine egne agenter først. En lokkehemmelighet som stopper en angriper, stopper også din egen automatiseringsagent som enumererer ressurser i samme konto.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN