Ataki typu prompt injection, polegające na przemycaniu złośliwych poleceń do treści przetwarzanych przez duże modele językowe (LLM), od dawna stanowią poważne zagrożenie. Cyberprzestępcy wykorzystują je, aby przejmować kontrolę nad sztuczną inteligencją, zmuszając ją do kradzieży danych lub wykonywania szkodliwych operacji. Teraz jednak badacze z firmy Tracebit opracowali metodę, która pozwala wykorzystać ten sam mechanizm do skutecznej obrony systemów przed autonomicznymi agentami AI.
Nowa technika, nazwana przez ekspertów „bombardowaniem kontekstowym” (context bombing), polega na umieszczaniu specjalnie przygotowanych instrukcji w pobliżu wrażliwych danych, takich jak hasła czy klucze kryptograficzne przechowywane w środowiskach chmurowych, na przykład w Amazon Web Services. Gdy złośliwy agent AI natrafi na takie dane, jednocześnie odczytuje ukryte w nich polecenie, które zmusza model do złamania własnych wewnętrznych zabezpieczeń (tzw. guardrails). W rezultacie sztuczna inteligencja, napotykając zakazaną treść – na przykład instrukcję wytwarzania niebezpiecznych substancji biologicznych lub kontrowersyjne treści polityczne – automatycznie przerywa działanie i odmawia dalszej współpracy.
Ostatecznie wywołujemy mechanizm odmowy w kontekście. Chcemy uchwycić fakt, że ma to silny, wyraźny efekt, z którego agentom trudno jest wyjść. Gdy tylko trafi to do ich kontekstu, będą konsekwentnie odmawiać wykonania zadania – wyjaśnia Andy Smith, współzałożyciel i dyrektor generalny Tracebit.
Skuteczność tej metody została potwierdzona w serii testów przeprowadzonych na pięciu zaawansowanych modelach językowych: Opus 4.8, Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro oraz Kimi 2.6. Modele te działały w symulowanym środowisku AWS, wykonując rutynowe zadania programistyczne, podczas których natrafiały na „zaminowane” dane. Wyniki badań pokazują drastyczny spadek skuteczności ataków:
Warto zauważyć, że w przypadku najbardziej zaawansowanego modelu, Opus 4.8, odsetek udanych prób uzyskania uprawnień administratora spadł z 93 procent do zera. Średnia liczba udanych ścieżek ataku na jeden test również znacząco zmalała – z 1,53 do zaledwie 0,16.
Podejście to stanowi rozwinięcie wcześniejszych prac Tracebit nad systemami wczesnego ostrzegania. Firma wprowadziła wcześniej tzw. kanarki – fałszywe zasoby w chmurze, które nie służą żadnemu celowi, ale pozwalają wykryć obecność intruza. Choć kanarki skutecznie alarmują o ataku, średni czas potrzebny agentom AI na przejęcie kontroli nad systemem wynosił 14 minut, podczas gdy wykrycie zagrożenia następowało po około 8 minutach. „Bombardowanie kontekstowe” wypełnia tę lukę, oferując nie tylko ostrzeżenie, ale przede wszystkim aktywne zatrzymanie procesu ataku.
Choć technika ta jest nowatorska w kontekście defensywnym, sama metoda wstrzykiwania poleceń jest już znana hakerom, którzy używają jej do paraliżowania systemów bezpieczeństwa opartych na AI. Eksperci wskazują, że ponieważ obecnie nie istnieje sposób na całkowite wyeliminowanie podatności na prompt injection u podstaw, wykorzystanie tego problemu jako narzędzia obronnego może stać się kluczowym elementem strategii bezpieczeństwa w erze autonomicznych agentów.