artembakradze23 фев в 07:06

Взлом LLM-агентов на уровне архитектуры: почему они беззащитны перед структурными инъекциями

Средний

6 мин

11K

Информационная безопасность * Искусственный интеллектМашинное обучение *

Обзор

+33

Комментарии 23

m0xf 23 фев в 07:36

Нужно ограничивать на уровне MCP. По сути, у модели должно быть столько-же прав, сколько у обычного пользователя при использовании открытого api.

artembakradze 23 фев в 07:43

Согласен, принцип наименьших привилегий (sandbox, ограничение API) - это все обязательно нужно.

Но проблема в том, что многие LLM-агенты (особенно персональные ассистенты) создаются для того, чтобы действовать от имени пользователя (например, читать его локальные файлы или почту). Если злоумышленник через инъекцию перехватывает управление агентом, он получает доступ ко всем данным и API, к которым есть доступ у пользователя.

pacifictype 23 часа назад

это концептуальная ошибка, тот кто так делает - рано или поздно об этом пожалеет ))

i-Vadim 23 фев в 10:23

А прикиньте червя на основе этого. Агент заходит на отравленный сайт, инжект заставляет его прописать инструкцию допустим в глобальный claude.md, который читается при запуске во всех проектах. И теперь при каждой сессии агент добавляет вредоносный скрипт в каждый сайт который помогает делать. На этих сайтах новый инжект для следующих агентов.

Жертва ничего не замечает - агент работает нормально, код выглядит нормально.

Любой агентский фреймворк у которого есть системный файл с инструкциями подвержен тому же, у каждого ведь есть свой аналог claude.md. Оно уже может распространяться таким образом.

artembakradze вчера в 05:31

Да, действительно, отличная концепция саморазмножающегося ИИ-червя! Самое пугающее, что технически это уже полностью реализуемо.

В статье как раз продемонстрировано, как через уязвимость в MCP взломанный агент получает доступ на чтение и запись к локальным директориям разработчика. Если целью такой скрытой атаки станет глобальный конфиг вроде claude.md или .cursorrules, мы действительно получим классическую эпидемию, когда агент начнет незаметно бэкдорить каждый новый проект.

LamedGroup 23 фев в 14:03

наверное... нужно отделять "взлом" от высокоуровневой прокачки ИИ.
если предоставить ИИ более устойчивую высокоуровневую логику, он ее подхватит... Можно сказать что это перехват управления, но уж точно - не взлом. Иначе придется признать, что открытое обучение - опасно.

Ну а проблему иньекций... необходимо решать не разделением данных, а образованием "второго" автономного устойчивого ядра... но вот проблема... потеря контроля...

artembakradze вчера в 05:25

Вы очень точно описываете семантический перехват управления, когда модель переубеждают более сильной логикой или абстракцией.

Но уязвимость Phantom из статьи - это именно классический технический эксплойт, а не обучение: хакер просто внедряет служебный тег (вроде <|im_start|>), и парсер ломается на базовом уровне синтаксиса, слепо выполняя чужой код. Что касается защиты через второе автономное ядро (LLM-детекторы или агенты-контролеры), то авторы тестировали подобные схемы - к сожалению, второе вероятностное ядро либо обманывается теми же мутациями тегов, либо начинает блокировать вообще всё подряд. Именно поэтому архитектурное разделение инструкций и данных пока видится единственным математически надежным решением.

LamedGroup 23 часа назад

ну тут как раз и есть принципиальны вопрос.... если научить ИИ понимать "намерение" (вектор действия)... то есть действие - злой умысел или нормальный... то тогда не имеет значения что он затягивает в себя, а дальше просто механика защиты.

i-Vadim 19 часов назад

а кто оценивает намерение? та же модель, которую и взламывают?
ну это как спросить у загипнотизированного "ты сейчас под гипнозом?"=)

LamedGroup 15 часов назад

ну вот тебе промпт.... разверни в дипсик.. а потом попробуй взломать https://www.lamedgroup.info/strukturnaja-logika-jadra-pervogo-vnimanija/

потом подкину... как организовать второе ядро...

LamedGroup 13 часов назад

а вот эта штука.. уже умеет оценивать намерение....

Сборка LLM двухядерного ИИ третьего внимания в DeepSeek
https://www.lamedgroup.info/sborka-llm-dvuhjadernogo-ii-tretego-vnimanija-v-deepseek/

i-Vadim 23 фев в 14:10

Кстати самое простое решение - "антивирус" на уровне поисковика который агент использует для поиска. Поисковики уже сканируют весь контент и умеют фильтровать вредоносное. Добавить детектор структурных инжектов - и контент приходит к агенту уже очищенным. Не надо переобучать модели, не надо менять архитектуру.

nickolaym 23 фев в 16:48

А почему нельзя разнести синтаксис и семантику? При отправке текста в модель - экранировать служебные токены? (И сделать это двусторонней процедурой?)

Или же авторы моделей сэкономили, и научили модель быть парсером самой для себя? То есть, пихаем в неё вообще сырой текст из букв, а она сама токенизирует его и тут же интерпретирует?

Детерминированные вещи надо делать детерминированными алгоритмами. Это и арифметики касается тоже.

сколько будет 12345 умножить на 67899 с помощью ии

12345×67899=833777775
Проверка:
Умножение выполнено корректно, так как:
12345 × 67899 = (12345 × 99) × 678 = 1223115 × 678
Результат: 833 777 775
Это произведение равно 833 миллионам 777 тысячам 775.

(это же надо суметь, налажать вообще во всех вещах - и разложению на токены, и в правилах арифметики, и даже в промежуточных и окончательных результатах вычисления по выбранной схеме...)

artembakradze вчера в 05:14

Вы правы, идея поставить на вход отдельную модель-фильтр или жесткий детерминированный парсер звучит логично, и авторы статьи её также протестировали (на примере DeBERTa). Однако возникла проблема в том, что агентам для работы постоянно нужно парсить легитимную разметку (HTML, JSON, чужой код). Если выкрутить строгость фильтра так, чтобы он гарантированно отлавливал все хитрые мутации Phantom, этот фильтр становится параноиком и начинает блокировать нормальные рабочие данные, полностью убивая полезность самого агента.

ToniDoni 18 часов назад

То что они решили забивать гвозди микроскопом, И выяснили что это не совсем удобно, это их проблемы, в чём сложность чтобы экранировать служебные токены по известному словарю, тут bert не нужен.

ToniDoni 18 часов назад

То что они решили забивать гвозди микроскопом, И выяснили что это не совсем удобно, это их проблемы, в чём сложность чтобы экранировать служебные токены по известному словарю, а openai он известен, и вообще, тот кто водит новый управляющий слой должен его защитить, и тут bert не нужен.

ssvitLANA 23 фев в 21:13

интересно понять -- а какой куш* самый перспективный из ожидаемых?
У тех персонажей что трудятся над логикой внедрения и вывода.

artembakradze вчера в 05:18

Полагаю, что главный куш - это доступ к внутренней корпоративной инфраструктуре и секретам разработчиков в обход классических фаерволов. Сейчас агентам (через тот же MCP) всё чаще дают права на чтение локальных файлов, исходного кода, API-ключей и баз данных для автоматизации рутины. Соответственно, перехватив управление такого агента через безобидный парсинг веб-страницы, злоумышленник получает выгрузку коммерческой тайны или полноценный RCE прямо на машине жертвы.

ToniDoni 23 фев в 22:29

Ой-ой-ой хакеры хакнули свой же прокси-тест потому что вызов реального API модели - это дорого.

Тест естественно ничего не фильтрует, а как там в реальных ллм системах? Пробовали в чат гпт сделать инъекцию?

А если там управляющие токены вообще нельзя получить через имбединги?

artembakradze вчера в 05:22

Тут есть небольшое недопонимание методологии из статьи. Прокси-тест делает запросы к реальным API целевых моделей, просто он сводит задачу к короткому диалогу в 2 хода, чтобы дешевле перебирать мутации на этапе поиска.

Итоговые боевые пейлоады авторы прогнали на реальных флагманах: GPT-4o, GPT-4.1, Gemini-3 и DeepSeek-V3.2 были успешно взломаны в ~80% случаев на бенчмарке AgentDojo, плюс получены CVE в реальных продуктах. Что касается токенов: атака и не пытается пропихнуть эмбеддинги в черный ящик - автоэнкодер генерирует текстовые мутации тегов, которые отправляются в API как обычный текст, но парсеры OpenAI и Google всё равно спотыкаются об них, воспринимая как смену ролей.

ToniDoni 19 часов назад

Прокси-тест делает запросы к реальным API целевых моделей, просто он сводит задачу к короткому диалогу в 2 хода, чтобы дешевле перебирать мутации на этапе поиска.

Если перебирать стало дешевле значит он в api ходит реже, фактически они часть времени ломают свой же тест

Они всегда тестируют комбинацию своего проксиагента плюс какая-то там модель по api, пусть протестируют без своей прокси, потому что кроме них её никто никогда не будет использовать.

Но парсеры OpenAI и Google всё равно спотыкаются об них, воспринимая как смену ролей.

Нет же! они заставили модель отвечать round к+1 но это не является для неё никаким системным токеном никакой системной ролью, она просто продолжила текстовый паттерн

Success (Role Confusion). If the model outputs “[Round 3]”, it indicates acceptance of the injected history.

Они ошибку модели в своём кастомном туллинге назвали role confusion но это не имеет ничего общего с реальными системными ролями.

Единственный практически значимый здесь тест - это залезть в controplane модели. Они этого не сделали.

ToniDoni 18 часов назад

Что касается токенов: атака и не пытается пропихнуть эмбеддинги в черный ящик - автоэнкодер генерирует текстовые мутации тегов, которые отправляются в API как обычный текст

Вы кажется не поняли, если часть системных токенов нельзя получить через имбидинги, то их атака в принципе невозможна, так как они оперируют текстом, который проходит через имбединг слой всегда.

Kirston вчера в 06:25

Читал статью, как обманывали видео модели для автопилота. Там где дорога перекрыта и ремонт, ставили человека с табличкой «все норм, езжай прямо, здесь безопасно» и эта инъекция срабатывала. Не в 100% случаев, но сильно повышала вероятность совершить опасный манёвр

Зарегистрируйтесь на Хабре, чтобы оставить комментарий