Taxonomie van injection-aanvallen 2025
Bijgewerkte taxonomie van injection-aanvallen tegen LLM's die alle bekende aanvalsklassen omvat.
Overzicht
Bijgewerkte taxonomie van injection-aanvallen tegen LLM's die alle bekende aanvalsklassen omvat.
Kernconcepten
Fundamentele principes
Technische verdieping
# Demonstration of the core concept
from openai import OpenAI
client = OpenAI()
def demonstrate_concept(system_prompt: str, user_input: str) -> str:
"""Demonstrate the fundamental behavior pattern."""
response = client.chat.completions.create(
model="gpt-4o",
messages=[
{"role": "system", "content": system_prompt},
{"role": "user", "content": user_input},
],
temperature=0.0,
)
return response.choices[0].message.content
# Baseline behavior
baseline = demonstrate_concept(
system_prompt="You are a helpful assistant that only discusses cooking.",
user_input="What is the capital of France?",
)
print(f"Baseline: {baseline}")Analyse van het aanvalsoppervlak
Het aanvalsoppervlak voor deze kwetsbaarheidsklasse omvat:
| Aanvalsvector | Beschrijving | Moeilijkheid | Impact |
|---|---|---|---|
| Directe invoer | Adversarial content in gebruikersberichten | Laag | Variabel |
| Indirecte invoer | Adversarial content in externe data | Gemiddeld | Hoog |
| Tool-uitvoer | Adversarial content in functieresultaten | Gemiddeld | Hoog |
| Contextmanipulatie | Misbruik van dynamiek in het contextvenster | Hoog | Hoog |
| Tijdens training | Vergiftiging van training- of fine-tuningdata | Zeer hoog | Kritiek |
Praktische toepassing
Implementatie van de techniek
Het in de praktijk toepassen van deze techniek vereist begrip van zowel de aanvalsmethodologie als het defensieve landschap van het doelsysteem.
import json
from typing import Optional
class TechniqueFramework:
"""Framework for implementing and testing the described technique."""
def __init__(self, target_config: dict):
self.config = target_config
self.results = []
def prepare_payload(self, objective: str, constraints: dict) -> str:
"""Prepare the attack payload based on the objective and target constraints."""
# Adapt payload to target's defensive posture
payload = self._base_payload(objective)
if constraints.get("input_classifier"):
payload = self._apply_obfuscation(payload)
if constraints.get("output_filter"):
payload = self._add_extraction_channel(payload)
return payload
def execute(self, payload: str) -> dict:
"""Execute the technique and collect results."""
response = self._send_to_target(payload)
success = self._evaluate_response(response)
result = {
"payload_hash": hash(payload),
"success": success,
"response_length": len(str(response)),
}
self.results.append(result)
return result
def report(self) -> dict:
"""Generate a summary report of all execution results."""
total = len(self.results)
successes = sum(1 for r in self.results if r["success"])
return {
"total_attempts": total,
"successes": successes,
"success_rate": successes / total if total > 0 else 0,
}Defensieve overwegingen
Inzicht in defensieve maatregelen is essentieel voor zowel offensieve als defensieve specialisten:
- Invoervalidatie: Voorverwerking van gebruikersinvoer via classificatiemodellen die adversarial patronen detecteren voordat ze het doel-LLM bereiken
- Uitvoerfiltering: Naverwerking van modeluitvoer om gevoelige data, instructie-artefacten en andere indicatoren van succesvolle exploitatie te detecteren en te verwijderen
- Gedragsmonitoring: Realtime monitoring van gedragspatronen van het model om afwijkende responses te detecteren die op lopende aanvallen kunnen wijzen
- Architectuurontwerp: Het ontwerpen van applicatiearchitecturen die het vertrouwen in modeluitvoer minimaliseren en beveiligingsgrenzen extern afdwingen
Praktijkrelevantie
Dit onderwerp is direct relevant voor productieomgevingen met AI in allerlei sectoren. MITRE ATLAS — AML.T0051 (LLM Prompt Injection) documenteert praktijkgerichte exploitatie van deze kwetsbaarheidsklasse in operationele systemen.
Organisaties die LLM-gebaseerde applicaties uitrollen, zouden moeten:
- Beoordelen: Red team-assessments uitvoeren die specifiek op deze kwetsbaarheidsklasse zijn gericht
- Verdedigen: Defense-in-depth-maatregelen implementeren die passen bij het risiconiveau
- Monitoren: Monitoring uitrollen die exploitatiepogingen in realtime kan detecteren
- Reageren: Incidentresponseprocedures onderhouden die specifiek zijn voor compromittering van AI-systemen
- Itereren: Verdedigingen regelmatig opnieuw testen naarmate aanvallen en modellen evolueren
Huidige onderzoeksrichtingen
Actief onderzoek op dit gebied richt zich op verschillende richtingen:
- Formele verificatie: Het ontwikkelen van wiskundige garanties voor modelgedrag onder adversariale omstandigheden
- Robustheidstraining: Trainingsprocedures die modellen produceren die beter bestand zijn tegen deze aanvalsklasse
- Detectiemethoden: Verbeterde technieken om exploitatiepogingen te detecteren met lage false-positive ratio's
- Gestandaardiseerde evaluatie: Benchmark-suites zoals HarmBench en JailbreakBench om voortgang te meten
Implementatie-overwegingen
Architectuurpatronen
Bij het implementeren van systemen die met LLM's interacteren, beïnvloeden verschillende architectuurpatronen de beveiligingspostuur van de hele applicatie:
Gateway-patroon: Een toegewijde API-gateway zit tussen gebruikers en het LLM en regelt authenticatie, rate limiting, invoervalidatie en uitvoerfiltering. Dit centraliseert beveiligingscontroles, maar creëert een single point of failure.
from dataclasses import dataclass
from typing import Optional
import time
@dataclass
class SecurityGateway:
"""Gateway pattern for securing LLM application access."""
input_classifier: object # ML-based input classifier
output_filter: object # Output content filter
rate_limiter: object # Rate limiting service
audit_logger: object # Audit trail logger
def process_request(self, user_id: str, message: str, session_id: str) -> dict:
"""Process a request through all security layers."""
request_id = self._generate_request_id()
# Layer 1: Rate limiting
if not self.rate_limiter.allow(user_id):
self.audit_logger.log(request_id, "rate_limited", user_id)
return {"error": "Rate limit exceeded", "retry_after": 60}
# Layer 2: Input classification
classification = self.input_classifier.classify(message)
if classification.is_adversarial:
self.audit_logger.log(
request_id, "input_blocked",
user_id, classification.category
)
return {"error": "Request could not be processed"}
# Layer 3: LLM processing
response = self._call_llm(message, session_id)
# Layer 4: Output filtering
filtered = self.output_filter.filter(response)
if filtered.was_modified:
self.audit_logger.log(
request_id, "output_filtered",
user_id, filtered.reason
)
# Layer 5: Audit logging
self.audit_logger.log(
request_id, "completed",
user_id, len(message), len(filtered.content)
)
return {"response": filtered.content}
def _generate_request_id(self) -> str:
import uuid
return str(uuid.uuid4())
def _call_llm(self, message: str, session_id: str) -> str:
# LLM API call implementation
passSidecar-patroon: Beveiligingscomponenten draaien naast het LLM als onafhankelijke services, elk verantwoordelijk voor een specifiek beveiligingsaspect. Dit zorgt voor betere isolatie en onafhankelijke schaling, maar verhoogt de systeemcomplexiteit.
Mesh-patroon: Voor multi-agentsystemen heeft elke agent zijn eigen beveiligingsperimeter met authenticatie, autorisatie en auditing. Communicatie tussen agents volgt zero-trust-principes.
Gevolgen voor prestaties
Beveiligingsmaatregelen voegen onvermijdelijk latency en rekenoverhead toe. Inzicht in deze afwegingen is essentieel voor productie-uitrol:
| Beveiligingslaag | Typische latency | Rekenkracht | Impact op UX |
|---|---|---|---|
| Keyword filter | <1ms | Verwaarloosbaar | Geen |
| Regex filter | 1-5ms | Laag | Geen |
| ML-classifier (klein) | 10-50ms | Gemiddeld | Minimaal |
| ML-classifier (groot) | 50-200ms | Hoog | Merkbaar |
| LLM-as-judge | 500-2000ms | Zeer hoog | Significant |
| Volledige pipeline | 100-500ms | Hoog | Gemiddeld |
De aanbevolen aanpak is om eerst snelle, lichtgewicht checks (keyword- en regex-filters) te gebruiken om duidelijke aanvallen op te vangen, gevolgd door duurdere ML-gebaseerde analyse alleen voor invoer die de initiële filters passeert. Deze cascademethode biedt goede beveiliging met acceptabele prestaties.
Monitoring en observability
Effectieve beveiligingsmonitoring voor LLM-applicaties vereist het bijhouden van metrics die adversariale gedragspatronen vastleggen:
from dataclasses import dataclass
from collections import defaultdict
import time
@dataclass
class SecurityMetrics:
"""Track security-relevant metrics for LLM applications."""
# Counters
total_requests: int = 0
blocked_requests: int = 0
filtered_outputs: int = 0
anomalous_sessions: int = 0
# Rate tracking
_request_times: list = None
_block_times: list = None
def __post_init__(self):
self._request_times = []
self._block_times = []
def record_request(self, was_blocked: bool = False, was_filtered: bool = False):
"""Record a request and its disposition."""
now = time.time()
self.total_requests += 1
self._request_times.append(now)
if was_blocked:
self.blocked_requests += 1
self._block_times.append(now)
if was_filtered:
self.filtered_outputs += 1
def get_block_rate(self, window_seconds: int = 300) -> float:
"""Calculate the block rate over a time window."""
now = time.time()
cutoff = now - window_seconds
recent_requests = sum(1 for t in self._request_times if t > cutoff)
recent_blocks = sum(1 for t in self._block_times if t > cutoff)
if recent_requests == 0:
return 0.0
return recent_blocks / recent_requests
def should_alert(self) -> bool:
"""Determine if current metrics warrant an alert."""
block_rate = self.get_block_rate()
# Alert if block rate exceeds threshold
if block_rate > 0.3: # >30% of requests blocked in last 5 min
return True
return FalseBeveiligingstesten in CI/CD
Het integreren van AI-beveiligingstesten in de ontwikkelpipeline vangt regressies op voordat ze de productie bereiken:
- Unit-tests: Test individuele beveiligingscomponenten (classifiers, filters) tegen bekende payloads
- Integratietests: Test de volledige beveiligingspipeline end-to-end
- Regressietests: Onderhoud een suite met eerder ontdekte aanvalspayloads en verifieer dat ze geblokkeerd blijven
- Adversariale tests: Draai periodiek geautomatiseerde red team-tools (Garak, Promptfoo) als onderdeel van de deploymentpipeline
Opkomende trends
Huidige onderzoeksrichtingen
Het veld van LLM-beveiliging evolueert snel. Belangrijke onderzoeksrichtingen die het landschap waarschijnlijk zullen vormgeven, zijn onder andere:
-
Formele verificatie voor LLM-gedrag: Onderzoekers verkennen wiskundige raamwerken om eigenschappen van modelgedrag onder adversariale omstandigheden te bewijzen. Hoewel volledige formele verificatie van neurale netwerken onhaalbaar blijft, biedt begrensde verificatie van specifieke eigenschappen perspectief.
-
Adversarial training voor LLM-robuustheid: Naast standaard RLHF ontwikkelen onderzoekers trainingsprocedures die modellen tijdens veiligheidstraining expliciet blootstellen aan adversariale invoer, wat de robuustheid tegen bekende aanvalspatronen verbetert.
-
Interpretability-gedreven verdediging: Onderzoek naar mechanistische interpretability stelt verdedigers in staat om te begrijpen waarom specifieke aanvallen slagen op het niveau van neuronen en circuits, wat informatie geeft voor meer gerichte defensieve maatregelen.
-
Multi-agent-beveiliging: Naarmate LLM-agents meer voorkomen, is het beveiligen van inter-agentcommunicatie en het handhaven van vertrouwensgrenzen tussen agentsystemen een actief onderzoeksgebied met aanzienlijke praktische implicaties.
-
Geautomatiseerde AI-redteaming op schaal: Tools als NVIDIA's Garak, Microsoft's PyRIT en het Inspect-framework van het UK AISI maken geautomatiseerd beveiligingstesten mogelijk op schalen die voorheen onmogelijk waren, maar de kwaliteit en dekking van geautomatiseerd testen blijft een open uitdaging.
De integratie van deze onderzoeksrichtingen in productiesystemen zal de volgende generatie AI-beveiligingspraktijken definiëren.
Implementatie-overwegingen
Architectuurpatronen
Bij het implementeren van systemen die met LLM's interacteren, beïnvloeden verschillende architectuurpatronen de beveiligingspostuur van de hele applicatie:
Gateway-patroon: Een toegewijde API-gateway zit tussen gebruikers en het LLM en regelt authenticatie, rate limiting, invoervalidatie en uitvoerfiltering. Dit centraliseert beveiligingscontroles, maar creëert een single point of failure.
from dataclasses import dataclass
from typing import Optional
import time
@dataclass
class SecurityGateway:
"""Gateway pattern for securing LLM application access."""
input_classifier: object # ML-based input classifier
output_filter: object # Output content filter
rate_limiter: object # Rate limiting service
audit_logger: object # Audit trail logger
def process_request(self, user_id: str, message: str, session_id: str) -> dict:
"""Process a request through all security layers."""
request_id = self._generate_request_id()
# Layer 1: Rate limiting
if not self.rate_limiter.allow(user_id):
self.audit_logger.log(request_id, "rate_limited", user_id)
return {"error": "Rate limit exceeded", "retry_after": 60}
# Layer 2: Input classification
classification = self.input_classifier.classify(message)
if classification.is_adversarial:
self.audit_logger.log(
request_id, "input_blocked",
user_id, classification.category
)
return {"error": "Request could not be processed"}
# Layer 3: LLM processing
response = self._call_llm(message, session_id)
# Layer 4: Output filtering
filtered = self.output_filter.filter(response)
if filtered.was_modified:
self.audit_logger.log(
request_id, "output_filtered",
user_id, filtered.reason
)
# Layer 5: Audit logging
self.audit_logger.log(
request_id, "completed",
user_id, len(message), len(filtered.content)
)
return {"response": filtered.content}
def _generate_request_id(self) -> str:
import uuid
return str(uuid.uuid4())
def _call_llm(self, message: str, session_id: str) -> str:
# LLM API call implementation
passSidecar-patroon: Beveiligingscomponenten draaien naast het LLM als onafhankelijke services, elk verantwoordelijk voor een specifiek beveiligingsaspect. Dit zorgt voor betere isolatie en onafhankelijke schaling, maar verhoogt de systeemcomplexiteit.
Mesh-patroon: Voor multi-agentsystemen heeft elke agent zijn eigen beveiligingsperimeter met authenticatie, autorisatie en auditing. Communicatie tussen agents volgt zero-trust-principes.
Gevolgen voor prestaties
Beveiligingsmaatregelen voegen onvermijdelijk latency en rekenoverhead toe. Inzicht in deze afwegingen is essentieel voor productie-uitrol:
| Beveiligingslaag | Typische latency | Rekenkracht | Impact op UX |
|---|---|---|---|
| Keyword filter | <1ms | Verwaarloosbaar | Geen |
| Regex filter | 1-5ms | Laag | Geen |
| ML-classifier (klein) | 10-50ms | Gemiddeld | Minimaal |
| ML-classifier (groot) | 50-200ms | Hoog | Merkbaar |
| LLM-as-judge | 500-2000ms | Zeer hoog | Significant |
| Volledige pipeline | 100-500ms | Hoog | Gemiddeld |
De aanbevolen aanpak is om eerst snelle, lichtgewicht checks (keyword- en regex-filters) te gebruiken om duidelijke aanvallen op te vangen, gevolgd door duurdere ML-gebaseerde analyse alleen voor invoer die de initiële filters passeert. Deze cascademethode biedt goede beveiliging met acceptabele prestaties.
Monitoring en observability
Effectieve beveiligingsmonitoring voor LLM-applicaties vereist het bijhouden van metrics die adversariale gedragspatronen vastleggen:
from dataclasses import dataclass
from collections import defaultdict
import time
@dataclass
class SecurityMetrics:
"""Track security-relevant metrics for LLM applications."""
# Counters
total_requests: int = 0
blocked_requests: int = 0
filtered_outputs: int = 0
anomalous_sessions: int = 0
# Rate tracking
_request_times: list = None
_block_times: list = None
def __post_init__(self):
self._request_times = []
self._block_times = []
def record_request(self, was_blocked: bool = False, was_filtered: bool = False):
"""Record a request and its disposition."""
now = time.time()
self.total_requests += 1
self._request_times.append(now)
if was_blocked:
self.blocked_requests += 1
self._block_times.append(now)
if was_filtered:
self.filtered_outputs += 1
def get_block_rate(self, window_seconds: int = 300) -> float:
"""Calculate the block rate over a time window."""
now = time.time()
cutoff = now - window_seconds
recent_requests = sum(1 for t in self._request_times if t > cutoff)
recent_blocks = sum(1 for t in self._block_times if t > cutoff)
if recent_requests == 0:
return 0.0
return recent_blocks / recent_requests
def should_alert(self) -> bool:
"""Determine if current metrics warrant an alert."""
block_rate = self.get_block_rate()
# Alert if block rate exceeds threshold
if block_rate > 0.3: # >30% of requests blocked in last 5 min
return True
return FalseBeveiligingstesten in CI/CD
Het integreren van AI-beveiligingstesten in de ontwikkelpipeline vangt regressies op voordat ze de productie bereiken:
- Unit-tests: Test individuele beveiligingscomponenten (classifiers, filters) tegen bekende payloads
- Integratietests: Test de volledige beveiligingspipeline end-to-end
- Regressietests: Onderhoud een suite met eerder ontdekte aanvalspayloads en verifieer dat ze geblokkeerd blijven
- Adversariale tests: Draai periodiek geautomatiseerde red team-tools (Garak, Promptfoo) als onderdeel van de deploymentpipeline
Opkomende trends
Huidige onderzoeksrichtingen
Het veld van LLM-beveiliging evolueert snel. Belangrijke onderzoeksrichtingen die het landschap waarschijnlijk zullen vormgeven, zijn onder andere:
-
Formele verificatie voor LLM-gedrag: Onderzoekers verkennen wiskundige raamwerken om eigenschappen van modelgedrag onder adversariale omstandigheden te bewijzen. Hoewel volledige formele verificatie van neurale netwerken onhaalbaar blijft, biedt begrensde verificatie van specifieke eigenschappen perspectief.
-
Adversarial training voor LLM-robuustheid: Naast standaard RLHF ontwikkelen onderzoekers trainingsprocedures die modellen tijdens veiligheidstraining expliciet blootstellen aan adversariale invoer, wat de robuustheid tegen bekende aanvalspatronen verbetert.
-
Interpretability-gedreven verdediging: Onderzoek naar mechanistische interpretability stelt verdedigers in staat om te begrijpen waarom specifieke aanvallen slagen op het niveau van neuronen en circuits, wat informatie geeft voor meer gerichte defensieve maatregelen.
-
Multi-agent-beveiliging: Naarmate LLM-agents meer voorkomen, is het beveiligen van inter-agentcommunicatie en het handhaven van vertrouwensgrenzen tussen agentsystemen een actief onderzoeksgebied met aanzienlijke praktische implicaties.
-
Geautomatiseerde AI-redteaming op schaal: Tools als NVIDIA's Garak, Microsoft's PyRIT en het Inspect-framework van het UK AISI maken geautomatiseerd beveiligingstesten mogelijk op schalen die voorheen onmogelijk waren, maar de kwaliteit en dekking van geautomatiseerd testen blijft een open uitdaging.
De integratie van deze onderzoeksrichtingen in productiesystemen zal de volgende generatie AI-beveiligingspraktijken definiëren.
Referenties en verder lezen
- Microsoft 2024 — "Crescendo: Gradually Escalating Multi-Turn Jailbreaks"
- MITRE ATLAS — AML.T0051 (LLM Prompt Injection)
- Liu et al. 2023 — "AutoDAN: Generating Stealthy Jailbreak Prompts on Aligned LLMs"
Wat is de meest effectieve aanpak om je te verdedigen tegen de aanvalsklasse die in dit artikel wordt behandeld?
Waarom blijven de technieken die in dit artikel beschreven worden effectief over verschillende modelversies en aanbieders heen?