« Tüm yayınlar

Biyoenformatikten prompt injection savunmasına: Smith-Waterman hilesi

Regex ve sınıflandırıcıların kaçırdığı parafraze prompt injection saldırılarını, DNA dizi hizalama algoritması Smith-Waterman ile yakalayan açık kaynak teknik F1 skorunu 34 puan artırdı.

Klasik prompt injection savunmaları genelde bilinen saldırı ifadeleri için regex listeleri ve bunları tamamlayan bir sınıflandırıcıdan oluşuyor. Ancak saldırgan aynı talimatı farklı kelimelerle ifade ettiğinde (ör. "ignore" yerine "disregard" veya "forget") bu yaklaşımlar ya saldırıyı kaçırıyor ya da meşru girdilerde yanlış pozitif üretiyor. Bu yazı, aynı "aynı anlam, farklı harfler" problemini onlarca yıldır çözen bir alandan, biyoenformatikten, ödünç alınan bir çözümü anlatıyor.

Çözüm, DNA ve protein dizilerini karşılaştırmak için 1981'de geliştirilen Smith-Waterman yerel hizalama algoritmasını kelime düzeyinde prompt metinlerine uyarlıyor. Saldırı şablonları anahtar kelimelere indirgeniyor, gelen istem aynı şekilde tokenize ediliyor ve iki dizi arasında en iyi eşleşen bölüm, elle hazırlanmış anlamsal bir ikame matrisi ("ignore"-"disregard" gibi eşanlamlı kelime çiftlerine puan veren küçük bir tablo) kullanılarak hizalanıyor. Boşluk doldurma (padding) ve parafraz gibi teknikler bu sayede etkisiz kalıyor, çünkü algoritma tüm istemi değil en yüksek skorlu alt bölgeyi arıyor.

Açık kaynak prompt-shield kütüphanesinde d028 dedektörü olarak uygulanan teknik, deepset/prompt-injections veri setinde test edilmiş. Sadece regex ile 0.033 olan F1 skoru, DeBERTa sınıflandırıcı eklenince 0.161'e, bu yeni teknik de eklenince 0.378'e çıkmış — yani sınıflandırıcı üzerine ek 34.5 puanlık bir kazanç, yanlış pozitiflerde artış olmadan ve taramada 5 milisaniyeden kısa sürede. Yazar, tekniğin yeni kelime dağarcığına ve çok adımlı jailbreak gibi yapısal saldırılara karşı sınırlı kaldığını da açıkça belirtiyor; bu yüzden prompt-shield'de tek başına değil 33 dedektörden biri olarak kullanılıyor.

Bu çalışma, olgun bir algoritmanın farklı bir alandan LLM güvenliğine taşınmasının somut bir örneği olarak öne çıkıyor ve benzer disiplinler arası tekniklerin (BLAST, UPGMA gibi) keşfedilmesi için bir davet niteliği taşıyor. Kod Apache 2.0 lisansıyla GitHub'da ve PyPI'da (prompt-shield-ai) yayında; teknik detaylar ayrı bir arXiv makalesinde (CC BY 4.0) belgelenmiş.