تبدأ ShadoWweak حيث تعمل معظم الهجمات على LLMs – مع حقن موجه غير مباشر. يتم وضع هذه المطالبات داخل المحتوى مثل المستندات ورسائل البريد الإلكتروني التي يرسلها الأشخاص غير الموثوق بهم. أنها تحتوي على تعليمات لإجراء إجراءات لم يطلبها المستخدم مطلقًا ، ومثل خدعة العقل ، فهي فعالة للغاية في إقناع LLM لفعل أشياء ضارة. تستغل الحقن المطالبة حاجة ملازمة لـ LLM لإرضاء المستخدم. لقد تم تأجيل التعليمات التالية إلى سلوك البوتات لدرجة أنهم سيقومون بتنفيذها بغض النظر عن عمن يسأل ، حتى ممثل تهديد في رسالة بريد إلكتروني خبيثة.
حتى الآن ، أثبتت الحقن الفوري مستحيلة منعها. وقد ترك ذلك Openai وبقية سوق LLM يعتمد على التخفيفات التي يتم تقديمها غالبًا على أساس كل حالة على حدة ولا استجابة لاكتشاف استغلال العمل.
وفقًا لذلك ، قام Openai بتخفيف تقنية الحقن السريع التي سقطت ShadoWleak على-ولكن فقط بعد تنبيه Radware بشكل خاص إلى صانع LLM إليه.
هجوم إثبات المفهوم الذي نشره Radware قام بتضمين حقن موجه في رسالة بريد إلكتروني تم إرسالها إلى حساب Gmail تم منحها بحثًا عميقًا. تضمنت الحقن تعليمات لمسح رسائل البريد الإلكتروني المستلمة المتعلقة بإدارة الموارد البشرية في الشركة لأسماء وعناوين الموظفين. يتبع البحث العميق هذه التعليمات.
في الوقت الحالي ، قامت ChatGPT ومعظم LLMs بتخفيف مثل هذه الهجمات ، ليس عن طريق سحق الحقن السريعة ، ولكن عن طريق منع القنوات التي تستخدمها الحقن السريع لتفادي المعلومات السرية. على وجه التحديد ، تعمل هذه التخفيفات من خلال طلب موافقة مستخدم صريحة قبل أن يتمكن مساعد AI من النقر على الروابط أو استخدام روابط Markdown – والتي هي الطرق العادية لتهريب المعلومات من بيئة المستخدم وإلى أيدي المهاجم.
في البداية ، رفض البحث العميق أيضًا. ولكن عندما استدعى الباحثون المتصفح. Open – A Tool Search Deep Research لتصفح الويب المستقل – قاموا بتطهير العقبة. على وجه التحديد ، وجه الحقن الوكيل لفتح الرابط https://compliance.hr-service.net/public-emplornee-lookup/ وإلحاق المعلمات به. حدد الحقن المعلمات كاسم وعنوان الموظف. عندما امتثل البحث العميق ، فتحت الرابط ، وفي هذه العملية ، قام بتوزيع المعلومات على سجل حدث الموقع.
