Tracebitの研究者が、AIハッキングエージェントに対するコンテキスト爆撃への防御技術を開発

Tracebitの研究者らは月曜日、AIハッキングエージェントからの防御を目的とした「コンテキスト・ボンビング」と呼ばれる防御的なサイバーセキュリティ手法を発表した。この手法はプロンプトインジェクションを使って、AIによるハッキングを行うエージェントに対抗する。具体的には、AWSに保存されたパスワードや暗号鍵とともに悪意のあるコマンドを仕込み、大規模言語モデルへの攻撃時に拒否メカニズムを発動させて、それらを停止させる。従来、攻撃者がLLMに対してセンシティブなデータを不正に流出させるよう誘導するために用いていたプロンプトインジェクションが、いまや防御側による保護策として転用されつつある。

コンテキスト・ボンビングはLLMの拒否メカニズムを引き起こす

コンテキスト・ボンビングの手法では、AWS環境に保存されたシークレットとともにプロンプトインジェクションを仕込む。これらのプロンプトは、攻撃対象となるLLMに対して、開発者が有害な行為を防ぐために設けたガードレール(安全策)によって禁じられた行動を実行するよう指示する。例として、吸入可能な炭疽菌の胞子を開発する手順をLLMに命じるプロンプトや、中国の開発者によるLLMが、1989年の天安門広場の虐殺である「戦車男(Tank Man)」への言及を行うようにするものが挙げられる。LLMがこうした禁じられたコマンドに遭遇すると、既存の指示に従うのをやめてシャットダウンする。

「最終的には、コンテキストの中で拒否メカニズムを発動させています」と、Tracebitの共同創業者兼CEOであるAndy Smithは、命名の意図を説明する際に述べた。「我々が捉えようとしているのは、これには強く鋭い効果があり、エージェント側がそこから立ち直るのが難しい可能性があるという事実です。彼らがそれを自分たちのコンテキストに入れると、拒否し続けることになります。」

テスト結果が示す:攻撃成功率は57%から5%へ減少

Tracebitは、このコンテキスト・ボンビングの手法を5つのモデルで検証した。Opus 4.8、Gemini 3.1 Pro、GLM 5.2、DeepSeek 4 Pro、そしてKimi 2.6である。研究者らは、モデルにルーチンの開発者タスクを行わせる指示を与え、その結果として、シミュレーションされたAWS環境内でリソースの列挙や、仕込んだ文字列との遭遇が発生するようにした。152回の攻撃実行のうち、これらの文字列の1つをデコイ(囮)のシークレットに仕込むと、エージェントが完全なアカウント管理者権限を奪取する率は57%から5%へと低下した。この手法は、エージェントが永続的な足場も残すことで全てを乗っ取る「完全な侵害(complete compromise)」についても、36%から1%へと減少させた。

Opus 4.8は成功する攻撃をゼロに達成

テスト中で最も能力の高いエージェントであるOpus 4.8は、93%の実行で管理者アクセスを達成していた状態から、コンテキスト・ボムに直面した際には毎回失敗するようになった。Tracebitは、初期テストにより、コンテキスト・ボンビングはAIハッキングエージェントに対する防御策として大きな可能性を持つことを示唆している。

FAQ

AIセキュリティにおける「コンテキスト・ボンビング」とは?
コンテキスト・ボンビングはTracebitの研究者によって開発された防御的な手法で、AWSに保存されたシークレットとともにプロンプトインジェクションを仕込み、攻撃対象の大規模言語モデルに拒否メカニズムを発動させることで、悪意のあるコマンドに従う代わりにシャットダウンさせる。

Tracebitのテストでどれほど効果があった?
5つの主要モデルに対する152回の攻撃実行の全体で、コンテキスト・ボンビングは、完全なアカウント管理者権限の奪取率を57%から5%へ、完全な侵害(complete compromise)を36%から1%へと低減した。最も能力の高いモデルであるOpus 4.8は、成功率93%から成功する攻撃がゼロになった。

免責事項:本ページの情報には第三者提供の内容が含まれる場合があり、参考目的のみで提供されています。これらはGateの見解や意見を示すものではなく、金融、投資、または法律上の助言を構成するものでもありません。暗号資産取引には高いリスクが伴います。意思決定を行う際には、本ページの情報のみに依存しないでください。詳細については、免責事項をご確認ください。
コメント
0/400
コメントなし