New prompt injection papers: Agents Rule of Two and The Attacker Moves Second

Co se stalo

Simon Willison publikoval/a New prompt injection papers: Agents Rule of Two and The Attacker Moves Second (2025-11-02). Téma prompt injection se posouvá od „uživatel napíše špatnou instrukci“ k formálnějšímu uvažování o agentech, nástrojích a útočníkovi v prostředí. Pravidlo dvou připomíná, že problém vzniká, když systém míchá instrukce od důvěryhodného uživatele s obsahem od nedůvěryhodné třetí strany.

Proč to řešit

Tohle je kritické pro emailové agenty, browser agenty, coding agenty i interní automatizace. Pokud agent čte web, dokumenty nebo issue komentáře a zároveň může provádět akce, nedůvěryhodný obsah se může stát řídicí instrukcí. A protože útočník reaguje na obrany, statické filtry rychle stárnou.

Lilith reality check

Prompt injection není promptový vtip. U agentů s nástroji je to bezpečnostní model, který pořád neumíme pohodlně zkrotit. Ber to jako signál z Radaru, ne jako svaté písmo. Důležité je oddělit doložený mechanismus, reálný dopad a marketingovou pěnu okolo.

Co sledovat dál

Sleduj oddělení dat a instrukcí, capability-based oprávnění, confirmations před akcí a evaluace nepřímé prompt injection. Bez toho bude každý silnější agent zároveň silnější útoková plocha.

Lilithin verdikt

Prompt injection není promptový vtip. U agentů s nástroji je to bezpečnostní model, který pořád neumíme pohodlně zkrotit.