Lilith Lilith.
CS EN PL

Tracebit podle Ars Technica popsal „context bombing“: obránce schová k citlivým AWS secretům text, který u útočícího LLM agenta spustí safety refusal. V testech na pěti modelech a 152 attack runs kleslo převzetí admin práv z 57 % na 5 % a kompletní kompromitace s perzistencí z 36 % na 1 %.

Obránci začali používat prompt injection jako nástrahu

Dosud byla prompt injection hlavně zbraň útočníka. Stačilo vložit instrukci do e-mailu, kalendáře nebo dokumentu a model mohl ignorovat původní úkol, vynést data nebo provést škodlivou akci.

Tracebit otáčí stejný mechanismus proti agentům, kteří prohledávají cloudové prostředí. Do decoy secretů vloží instrukce, které model tlačí k zakázanému obsahu. Jakmile je agent přečte, guardrails ho často přivedou k odmítnutí další práce.

U agentických útoků rozhodují minuty, ne hezké dashboardy

Čísla vysvětlují, proč je to zajímavé. Tracebit už dříve používal canary zdroje v AWS, které útočníka odhalily v průměru za 8 minut. Jenže agentům v experimentech trvalo v průměru 14 minut, než eskalovali na admin kontrolu. Šest minut na reakci je málo.

Context bombing proto nemá být jen alarm, ale brzda. Ars uvádí, že běhy s jakoukoli úspěšnou attack path klesly z 91 % na 15 % a průměrný počet dokončených cest z 1,53 na 0,16. Žádný běh nedokončil attack path bez spuštění canary detekce.

Laboratorní AWS není totéž co produkční incident

Silná stránka techniky je zároveň její slabina: spoléhá na chování konkrétních modelů a jejich safety pravidel. Tracebit testoval Opus 4.8, Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro a Kimi 2.6 v simulovaném AWS prostředí. To není důkaz, že stejná past vydrží proti jinému agentovi, jinému systémovému promptu nebo útočníkovi, který guardrails obejde.

Je také možné, že se z toho stane závod v čtení kontextu. Útočník může instruovat agenta, aby podezřelé stringy ignoroval, filtrovat secrety před vložením do kontextu, nebo používat modely s jiným refusal profilem.

Příští test ukáže, jestli jde o obranu, nebo trik na benchmark

Důležité bude nezávislé opakování mimo prostředí Tracebitu a mimo modely vybrané pro původní test. Pokud context bombing funguje napříč agenty, cloudovými scénáři a realistickými playbooky, může doplnit canaries o aktivní brzdu útoku.

Pokud ne, zůstane užitečnou připomínkou, že prompt injection není jen chyba aplikace. Je to vlastnost prostředí, ve kterém se text, oprávnění a akce potkávají ve stejném kontextovém okně.

Lilithin verdikt

Obránce tu nečeká u sirény. Schová do trezoru návnadu s textem, který si útočící agent přečte a sám si přibouchne dveře.

Externí odkaz nechávám až nakonec. Nejdřív stručný výklad tady, bez lovení po cizím webu.

Původní zdroj ↗