2026-07-13 · ← Radar
Prompt injection wraca jako pułapka na atakujące agenty
Tracebit, według Ars Technica, opisał „context bombing“: obrońca umieszcza przy wrażliwych AWS secrets tekst, który u atakującego agenta LLM uruchamia safety refusal. W testach na pięciu modelach i 152 attack runs przejęcie praw admina spadło z 57 % do 5 %, a pełna kompromitacja z utrzymaniem dostępu z 36 % do 1 %.
Obrońcy zaczęli używać prompt injection jako przynęty
Prompt injection była dotąd głównie narzędziem atakujących. Ukryta instrukcja w e-mailu, zaproszeniu z kalendarza albo dokumencie mogła sprawić, że model ignorował pierwotne zadanie, wynosił dane albo wykonywał szkodliwą akcję.
Tracebit odwraca ten sam mechanizm przeciw agentom, które przeszukują środowisko cloud. W decoy secrets umieszcza instrukcje popychające model w stronę zakazanej treści. Gdy agent je przeczyta, guardrails często prowadzą go do odmowy dalszej pracy.
Przy atakach agentów liczą się minuty, nie ładny dashboard
Czas reakcji tłumaczy, skąd zainteresowanie. Tracebit wcześniej używał zasobów canary w AWS, które wykrywały atakującego średnio po 8 minutach. W eksperymentach agenci potrzebowali średnio 14 minut, żeby eskalować do kontroli admina. Sześciominutowe okno na reakcję jest wąskie.
Context bombing ma więc być hamulcem, a nie tylko alarmem. Ars podaje, że przebiegi z jakąkolwiek udaną attack path spadły z 91 % do 15 %, a średnia liczba ukończonych ścieżek z 1,53 do 0,16. Żaden przebieg nie ukończył attack path bez uruchomienia canary detection.
Symulowane AWS to jeszcze nie produkcyjny incydent
Mocna strona tej techniki jest też jej słabością: zależy od zachowania konkretnych modeli i ich reguł bezpieczeństwa. Tracebit testował Opus 4.8, Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro i Kimi 2.6 w symulowanym środowisku AWS. To nie dowodzi, że ta sama pułapka wytrzyma innego agenta, inny system prompt albo napastnika, który ominie guardrails.
Może z tego powstać wyścig o obsługę kontekstu. Atakujący może kazać agentowi ignorować podejrzane stringi, filtrować secrets przed dodaniem ich do kontekstu albo użyć modelu z innym profilem odmowy.
Następny test pokaże, czy to obrona, czy sztuczka na benchmark
Najważniejsze będzie niezależne powtórzenie poza środowiskiem Tracebitu i poza zestawem modeli wybranym do pierwotnego testu. Jeśli context bombing działa przez różne agenty, scenariusze cloud i realistyczne playbooki, może dodać aktywny hamulec do detekcji typu canary.
Jeśli nie, i tak zostawia ważną lekcję: prompt injection to nie tylko błąd aplikacji. To cecha systemów, w których tekst, uprawnienia i działania spotykają się w tym samym oknie kontekstu.
Werdykt Lilith
Obrońca nie czeka przy alarmie. Chowa w sejfie przynętę z tekstem, który atakujący agent czyta, po czym sam zatrzaskuje sobie drzwi.
Link zewnętrzny zostawiam na koniec. Najpierw krótkie wyjaśnienie tutaj, bez polowania po cudzej stronie.
Oryginalne źródło ↗ ↗