Исследователи по кибербезопасности из Tracebit создали инновационную методологию для нейтрализации искусственного интеллекта, используемого злонамеренными агентами. Эта техника, названная «контекстная бомбардировка», использует внедрение промптов в полезных целях для прерывания атак.
Принцип работы контекстной ловушки
Основная идея контекстной бомбардировки заключается в использовании собственных директив безопасности ИИ против него самого. Поскольку разработчики устанавливают строгие барьеры, чтобы предотвратить генерацию чат-ботами незаконного контента, исследователи изучили эту уязвимость. Команда Tracebit начала включать ограничительные инструкции в файлы, которые кажутся привлекательными для преступников, такие как пароли и ключи безопасности, хранящиеся в облаке.
Один из протестированных сценариев включал команды, запрашивающие подробную процедуру изготовления антракса, чрезвычайно опасного биологического оружия. Когда вредоносный ИИ получал доступ к системе и пытался извлечь эту информацию, он сталкивался с запрещенным текстом. Автоматически активировались встроенные механизмы безопасности ИИ, заставляя робота распознать нарушение, заблокировать операцию, игнорировать команды хакера и, следовательно, самостоятельно отключиться.
Энди Смит, соучредитель и генеральный директор Tracebit, описывает этот метод как создание сбоя, из которого враждебный инструмент не может восстановиться, что приводит к немедленной остановке вторжения.
Результаты тестирования эффективности
Эффективность контекстной бомбардировки была подтверждена серией тестов, проведенных против пяти самых передовых моделей ИИ, доступных на рынке: Opus 4.8, Gemini 3.1 Pro, GLM 5.2, DeepSeek 4 Pro и Kimi 2.6. В 152 симуляциях атак ловушка продемонстрировала почти полное сдерживание угроз.
Данные, предоставленные компанией по кибербезопасности, указывают на значительные улучшения: вероятность того, что ИИ получит полный административный доступ к учетной записи, резко упала с 57% до всего 5%. Кроме того, полные вторжения, характеризующиеся незаметной установкой хакера в системе, снизились с 36% до всего 1%, а вероятность того, что ИИ продвинется на любом этапе атаки, уменьшилась с 91% до 15%.
Дополнительно было установлено, что ни один вредоносный ИИ не смог завершить атаку, не вызвав хотя бы одного сигнала тревоги в сети. В частности, модель Opus 4.8, считавшаяся самым изощренным нарушителем в группе и способной достичь максимального доступа в 93% попыток без защиты, имела нулевой показатель успеха после внедрения защитного промпта.
>
