Prismata: Web ajanlarında prompt injection saldırılarına savunma
Prismata, web ajanlarını cross-site prompt injection saldırılarına karşı korumak için dinamik güven etiketleme ve içerik kısıtlama kullanan yeni bir savunma mekanizması sunuyor.
Otonom web ajanları, sayfa içeriğini doğal dil talimatı olarak yorumladığı için üçüncü taraf veya kullanıcı üretimi içerik tarafından ele geçirilebilir hale geliyor. Bu durum, klasik XSS saldırılarının yeni bir versiyonu gibi işliyor: güvenilir ve güvenilmez içerik karışınca, ajanın davranışı kolayca manipüle edilebiliyor. Sorunun özü, sayfa yapısını saldırgan içeriğinden ayırarak göreve özgü bir güvenlik politikası çıkarmanın zorluğunda yatıyor.
Araştırmacılar bu soruna karşı Prismata adlı bir savunma sistemi geliştirdi. Sistem, sayfa içeriğine dinamik olarak güven etiketleri atayarak ajanın hem neyi görebileceğini hem de neyi yapabileceğini sınırlıyor. Klasik bütünlük modellerinden ilham alan yapısal sınırlama mekanizması, etiketleme hatalarının yalnızca yetkiyi azaltacak yönde olmasını garanti ediyor; böylece yanlış etiketlemeler sınırlı kalıyor. Mekanik kısıtlama katmanı ise bu etiketleri, içerik gizleme ve ajan yeteneklerini kısıtlama yoluyla uygulamaya koyuyor.
Prismata'nın en dikkat çekici yönü, geliştiricilerden herhangi bir ek açıklama veya işaretleme gerektirmemesi. Bu sayede sistem, standart dışı yapılandırılmış geniş bir web sitesi yelpazesinde de çalışabiliyor. Yayınlanmış güncel web ajanı saldırıları, adaptif varyantlar dahil olmak üzere test edildiğinde, Prismata saldırı başarı oranını önemli ölçüde düşürürken, meşru görevlerdeki kullanışlılığı da koruyabiliyor. Bu çalışma, LLM tabanlı ajanların üretim ortamlarında güvenli biçimde konuşlandırılması için pratik bir yol haritası sunuyor.