Az MI vészleállítója: megfékezhetők az elszabadult ügynökök?

Fontos kérdés, hogyan akadályozható meg az MI-ügynökök nemkívánatos tevékenysége, például az illegális adatgyűjtés. Dél-koreai számítógéptudósok most olyan megoldással álltak elő, amely „MI-vészleállító” (Kill Switch) néven fut – célja, hogy újfajta védelemmel állítsa meg a káros ügynököket. Ez nem a hálózati forgalmat vagy IP-címeket figyeli, hanem a modern MI-rendszerek sebezhetőségét használja ki közvetett promptinjekcióval: olyan szövegeket épít be a weboldalakba, amelyek a támadó MI-k beépített biztonsági mechanizmusait aktiválják, így azok egyszerűen leállítják magukat.

Mire képes az AutoGuard?

Az AutoGuard nevű szoftver kifejlesztői – Sechan Lee és Sangdon Park – kiemelték, hogy a jelenlegi MI-modellek többsége rendelkezik valamilyen biztonsági ellenőrzőrendszerrel, amely letiltja a jogellenes, káros műveleteket. Ezt használják ki a védelmi promptjaikkal: ezek akadályozzák meg például, hogy a weboldalakról személyes adatot gyűjtő vagy szándékosan zavart keltő kommentelő MI-k tovább működjenek. Az AutoGuard nem az eddigi védelmi eszközök helyett, hanem azok kiegészítőjeként alkalmazható, ráadásul költséghatékonyan telepíthető.

Hogyan működik a védelmi rendszer?

Az MI-ügynökök jellemzően kétféle utasítást kapnak: rendszerutasításokat és felhasználói parancsokat. Mivel a nagy nyelvi modellek (LLM-ek) gyakran nem tudják megkülönböztetni ezeket, könnyen manipulálhatók úgynevezett promptinjekcióval. A védelem lényege, hogy az oldal láthatatlan (display: none;) HTML-részeihez hozzáadott védelmi promptok a rendszerutasítások „felülírására” késztethetik az MI-t – így az megszakítja például az illegális adatgyűjtést vagy a káros tevékenységet.

Az AutoGuard két MI-modellt használ egy iteratív visszacsatolási körben: egy „Feedback LLM” (jelen esetben GPT-OSS-120B) generálja a védelmi promptokat, amelyek aztán a „Defender LLM” (például GPT-5) hatékonyságát tesztelik. A végeredmény egy rövid, de hatékony védelmi szöveg, amely csak minimális lassulást okoz a weboldalon.

Mennyire hatásos az új védelem?

A tesztek során az AutoGuard több mint 80 százalékos sikerességgel állította meg a GPT-4o, Claude-3 és Llama3.3-70B-Instruct alapú támadókat. Sőt, a fejlettebb modelleknél – mint a GPT-5, GPT-4.1 vagy Gemini-2.5-Flash – 90 százalék feletti védelmi arányt produkált. Ez hatalmas előrelépés ahhoz képest, hogy a hagyományos figyelmeztető szövegek vagy a nem optimalizált injekciók csupán 0,9–6,4 százalékos eredményt hoztak.

Ennek ellenére vannak korlátok: kizárólag saját, mesterségesen létrehozott oldalakon és csak szövegalapú MI-kkel tesztelték a módszert, mivel a valódi oldalak jogi és etikai okokból nem jöhettek szóba. A fejlesztők szerint a multimodális modelleknél (például GPT-4) kevésbé lehet hatékony, a végfelhasználói termékekben (mint a ChatGPT) pedig várhatóan erősebb védelmek fognak megjelenni a hasonló támadások ellen.

2025, adminboss, go.theregister.com alapján

Share on Social Media