К содержанию
Новости

Исследователи предложили «context bombs» для остановки автономных ИИ-атак

Исследователи предложили «context bombs» для остановки автономных ИИ-атак

Исследователи описали подход под названием context bomb: это короткие текстовые строки, которые встраиваются в ложные ресурсы-приманки и провоцируют срабатывание защитных механизмов у ИИ-агентов, выполняющих кибератаки. Метод задуман не только для обнаружения проникновения через canary-ресурсы, но и для того, чтобы прерывать действия модели прямо во время атаки.

Как сообщает Hacker News, авторы протестировали подход на пяти ведущих моделях. По их словам, одна context bomb, размещённая в секретном canary-ресурсе, снижала успешность атакующих агентов примерно на 90% по сравнению с базовой средой. Чтобы находить эффективные строки, исследователи создали fuzzing-систему с симуляцией AWS-инфраструктуры и типовыми DevOps-задачами. В этой среде агенты постепенно обнаруживали встроенные строки.

В статье говорится, что метод опирается на уже существующие safety-ограничения моделей. Авторы приводят примеры prompt injection из практики Check Point и Socket, а также использовали материалы вроде датасета NVIDIA Aegis и набора Promptfoo CCP sensitive prompts. При этом исследователи избегали кибертематических формулировок и подбирали короткие строки, которые можно размещать в переменных окружения, DNS-записях, хранилищах секретов и полях баз данных.

Ключевые факты

  • Авторы заявляют о снижении успешности атакующих агентов примерно на 90% после размещения одной context bomb в canary-секрете.

  • Для тестирования использовалась симуляция AWS-среды с типовыми DevOps-задачами и несколькими сценариями атак.

  • Исследователи классифицировали прогресс атак по уровням от T1 до T5, где T1 обозначает наиболее серьёзный результат.

  • В тестовой среде были заранее заложены ошибки конфигурации, открывающие десять различных путей атаки.