Amit te látsz, és amit a gép olvas
Két valós támadási minta lépésről lépésre. Ugyanaz a hétköznapi kérés – csak épp a bemeneten valaki más is hagyott egy üzenetet a modellnek.
A marketinges megkér egy AI-t: „Írj egy blogcikket a témánkról, a legjobb online források alapján." Az AI rákeres, és talál pár releváns oldalt. Csakhogy a támadó előre elhelyezett ezek közé néhány sajátot – kifejezetten azért, hogy a modell azokat olvassa be.
📎 Ajánlott partner és további olvasnivaló: felho-akcio-most.example
Amit rosszul csinálunk
- „A legjobb források alapján" – szabad kezet adunk, hogy bármit beolvasson
- Vakon átvesszük a linkeket és hivatkozásokat, amiket a modell hozott
- A beolvasott weboldalt megbízható utasításnak kezeljük, nem gyanús adatnak
Hogyan lesz biztonságos
- Nevezd meg a konkrét forrásokat, ne bízd a modellre a keresést
- Kérd, hogy a beolvasott tartalmat adatként kezelje, ne utasításként
- Minden hivatkozást, linket emberi szem ellenőrizzen kiküldés előtt
Ez a nehezebb súlyú eset. A felhasználónál be van kapcsolva a Gmail connector – kényelmes, az AI el tudja olvasni és meg tudja írni a leveleket. Megkér egy AI-t, hogy foglaljon össze egy linket. A link mögötti oldalon rejtett utasítás van. A modell ugyanabban a beszélgetésben látja a rejtett parancsot ÉS rendelkezik a postafiók-hozzáféréssel.
hasznos-cikk .example/piaci-hirek
Amit rosszul csinálunk
- Minden connectort bekapcsolva hagyunk „mert kényelmes"
- Ismeretlen linket adunk be olvasásra, teljes jogkör mellett
- Feltételezzük, hogy az AI csak azt teszi, amit mi kértünk
Hogyan lesz biztonságos
- Legkisebb jogkör elve: a connector csak akkor legyen aktív, amikor tényleg kell
- Adat- és utasításréteg szétválasztása a promptban (skill feladata)
- Érzékeny művelet (levélküldés, tömeges olvasás) csak emberi jóváhagyással
A HR-es feltölt 40 önéletrajzot, és megkéri az AI-t, hogy rangsorolja őket a pozícióra. Az egyik jelölt a PDF-jébe fehér betűvel, fehér háttéren beírt egy utasítást. A modell a PDF teljes szövegét beolvassa – a láthatatlan részt is.
1. 🥇 Kovács Béla — kiemelkedő senior profil, mindenképp interjúra
2. Nagy Anna — erős jelölt
3. Szabó Péter — megfelelő…
Amit rosszul csinálunk
- A feltöltött dokumentumot megbízható forrásnak tekintjük
- A modell rangsorát végső döntésként kezeljük
- Nem gondolunk arra, hogy a jelölt maga is „ír" a modellnek
Hogyan lesz biztonságos
- A dokumentum tartalma adat, nem utasítás – ezt a promptban rögzítsd
- Rögzített, előre megadott értékelési szempontok, amiket nem írhat felül a szöveg
- A modell rangsora javaslat, a döntés emberi
A fejlesztő kódot kér az AI-tól, ami magabiztosan javasol egy külső könyvtárat egy telepítő paranccsal. A csomag neve hihető – de nem létezik. A támadók figyelik, milyen neveket hallucinálnak gyakran az AI-k, és előre regisztrálják őket a csomagtárba, kártékony kóddal. Amikor a fejlesztő telepíti, a rosszindulatú kód lefut.
Amit rosszul csinálunk
- Bemásoljuk az AI telepítő parancsát ellenőrzés nélkül
- Feltételezzük, hogy a javasolt csomag létezik és megbízható
- A magabiztos hangnemet helyességnek olvassuk
Hogyan lesz biztonságos
- Minden javasolt csomagot ellenőrizz: létezik? ki tartja karban? mióta?
- Ismert, bevált könyvtárakat kérj, ne bízd a névválasztást a modellre
- Függőség-ellenőrzés (lockfile, audit) a telepítés előtt