NCSC do Reino Unido levanta alarmes sobre ataques de injeção rápida

NCSC do Reino Unido levanta alarmes sobre ataques de injeção rápida

Vulnerabilidades de injeção rápida podem nunca ser totalmente mitigadas como categoria, e os defensores da rede deveriam focar em formas de reduzir seu impacto, alertaram especialistas em segurança governamental.

O então diretor técnico de pesquisa de plataformas do National Cyber Security Centre (NCSC), David C, alertou os profissionais de segurança para não tratarem a injeção rápida como injeção SQL.

“A injeção SQL é … ilustrativa de um problema recorrente em cibersegurança; ou seja, ‘dados’ e ‘instruções’ sendo tratados incorretamente”, explicou.

“Isso permite que um atacante forneça ‘dados’ que são executados pelo sistema como uma instrução. É o mesmo problema subjacente para muitos outros tipos críticos de vulnerabilidades que incluem scripts cross-site e exploração de overflows de buffer.”

No entanto, as mesmas regras não se aplicam à injeção de prompts, porque grandes modelos de linguagem (LLMs) não distinguem entre dados e instruções.

“Quando você fornece um prompt para LLM, ele não entende o texto do jeito que uma pessoa entende. Ele está simplesmente prevendo o próximo token mais provável do texto até agora”, continuou o blog.

“Como não há distinção inerente entre ‘dados’ e ‘instrução’, é muito possível que ataques de injeção prompt nunca sejam totalmente mitigados da mesma forma que os ataques de injeção SQL podem ser.”

É por isso que mitigações como detectar tentativas de injeção rápida, treinar modelos para priorizar “instruções” em vez de “dados” e explicar a um modelo o que são “dados” estão fadadas ao fracasso, argumentou David C.

Leia mais sobre ataques de injeção de prompt: Ataques “PromptFix” Podem Sobrecarregar Ameaças de IA Agential

Uma forma melhor de abordar o desafio é enxergar a injeção rápida não como injeção de código, mas como exploração de um “delegado inerentemente confuso”.

David C argumentou que os LLMs são “inerentemente confusos” porque o risco não pode ser totalmente mitigado.

“Em vez de esperar que possamos aplicar uma mitigação que corrija a injeção rápida, precisamos abordá-la buscando reduzir o risco e o impacto. Se a segurança do sistema não tolerar o risco restante, pode não ser um bom caso de uso para LLMs”, explicou.

Reduzindo os Riscos de Injeção Rápida

O NCSC sugeriu as seguintes medidas para reduzir o risco de injeção rápida, todas alinhadas ao ETSI (TS 104 223) sobre os Requisitos Básicos de Cibersegurança para Modelos e Sistemas de IA.

  • Desenvolvedor/equipe de segurança/consciência organizacional dessa classe de vulnerabilidades e de que sempre haverá um risco residual que não pode ser totalmente mitigado com um produto ou appliance
  • Projeto seguro de LLM, especialmente se o LLM chama ferramentas ou usa APIs baseadas em sua saída. As proteções devem focar em salvaguardas não relacionadas a LLMs que limitam as ações do sistema, como impedir que um modelo que processa e-mails de indivíduos externos tenham acesso a ferramentas privilegiadas
  • Dificultar a injeção de prompts maliciosos, como marcar seções de “dados” como separadas das “instruções”
  • Monitoramento das informações de registro para identificar atividades suspeitas, como falhas em chamadas de ferramentas/API

A falha em resolver o desafio logo no início pode levar a uma situação semelhante aos bugs de injeção de SQL, que só recentemente se tornaram muito mais raros.

“Corremos o risco de ver esse padrão se repetir com injeção rápida, já que estamos no caminho para incorporar a genAI na maioria das aplicações”, concluiu David C.

“Se essas aplicações não forem projetadas pensando em injeção rápida, uma onda semelhante de violações pode seguir.”

Steve Wilson, diretor de IA da Exabeam, concordou que as abordagens atuais para combater a injeção rápida estão falhando.

“CISOs precisam mudar sua mentalidade. Defender agentes de IA é menos como proteger softwares tradicionais e muito mais como defender os humanos dentro de uma organização. Agentes, assim como as pessoas, são bagunçados, adaptáveis e propensos a serem manipulados, coercidos e confundidos”, acrescentou.

“Isso os torna mais análogos a ameaças internas do que a componentes clássicos de aplicação. Seja lidando com um prompt malicioso, dados upstream comprometidos ou caminhos de raciocínio não intencionais, é necessária vigilância constante. A segurança eficaz da IA não virá de camadas mágicas de proteção, mas sim da disciplina operacional, monitoramento, contenção e da expectativa de que esses sistemas continuarão a se comportar de forma imprevisível por muitos anos.”

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.