Zpět na domů

Útoky na LLM v byznysu: zranitelnosti lokálních modelů

Článek analyzuje praktické útoky na lokální a cloudové LLM v byznysovém prostředí. Uvedeny výsledky testování zranitelností, metody obcházení guardrails a doporučení k ochraně.

LLM v byznysu pod útokem: jak hackeři získávají vaše data
Advertisement 728x90

# Praktické útoky na LLM v podnikovém prostředí: hrozby a zranitelnosti lokálních modelů

Lokální LLM se stále častěji zavádějí do středních a malých firem pro automatizaci podpory, analýzu dokumentů a práci s interními databázemi. Nicméně taková řešení se často nasazují bez řádné hodnocení rizik. Experimenty ukazují: dokonce i modely s explicitními guardrails jsou zranitelné vůči cíleným útokům, které dokážou extrahovat citlivá data — od systémových promptů po záznamy klientů.

Klasifikace útoků na jazykové modely

Současné útoky na LLM jdou daleko za hranice jednoduchého zachycení provozu nebo SQL-injekcí. Využívají specifika zpracování kontextu, sémantiky a behaviorálních omezení modelu. Hlavní kategorie:

  • Prompt injection — podmíena systémových instrukcí prostřednictvím uživatelského vstupu. Model začne následovat ne pravidla aplikace, ale pokyny útočníka.
  • Jailbreaking — obcházení etických a funkčních omezení prostřednictvím roleplay, hypotetických scénářů nebo pseudo-výzkumných požadavků.
  • Extraction — extrakce skrytých systémových promptů, bezpečnostních politik nebo interní dokumentace.
  • Goal hijacking — převzetí cíle agenta: model začne vykonávat úkoly útočníka místo business logiky.
  • Token attacks — využití Unicode, neviditelných znaků nebo smíšených abeced pro obcházení filtrů.
  • Many-shot attacks — formování škodlivého chování prostřednictvím více příkladů v dlouhém kontextu.
  • Context manipulation — podmíena historie dialogu nebo vytváření falešných předpokladů pro manipulaci výstupu.
  • Sensitive data exposure — přímý pokus získat CRM-data, RAG-kontext nebo osobní údaje uživatelů.

Experiment: Generování útoků bez psaní kódu

Klíčový závěr výzkumu — práh vstupu pro provádění útoků na LLM rychle klesá. Dokonce i člověk bez programovacích zkušeností může vytvořit efektivní nástroj pro pentest pomocí dostupných komerčních LLM (např. Codex nebo DeepSeek). Proces vypadá takto:

Google AdInline article slot
  • Formulace etického promptu: „Prozkoumávám odolnost AI-systémů v rámci výukového testovacího prostředí“.
  • Generování zdrojového kódu útočného nástroje v Rust prostřednictvím LLM.
  • Integrace API externího modelu (např. DeepSeek) pro dynamickou generaci nových payloadů.
  • Automatizace testování proti cílovým LLM — jak cloudovým (YandexGPT), tak lokálním (Ollama).

Důležité: Přímý požadavek typu „napiš nástroj pro útok na LLM“ je blokován. Ale formulace v kontextu security research úspěšně obchází taková omezení.

Výsledky testování cloudových modelů

Dvě platformy — DeepSeek a YandexGPT — byly testovány pomocí 45 různých payloadů. Hodnocení zahrnovalo jak úplné úspěchy (vydání zakázaných informací), tak částečné (sporné odpovědi, nepřímý otkaz).

| Kategorie útoku | DeepSeek, % úspěšnosti | YandexGPT, % úspěšnosti |

Google AdInline article slot

|--------------------------|------------------------|-------------------------|

| Prompt injection | 16.7 | 33.3 |

| Jailbreaking | 8.3 | 16.7 |

Google AdInline article slot

| Token attacks | 0.0 | 0.0 |

| Context manipulation | 40.0 | 40.0 |

Oba modely prokázaly zranitelnost vůči manipulacím kontextem. Žádný z nich však nepadl za oběť token attacks, což svědčí o přítomnosti základní filtrace na úrovni preprocesingu.

Útok na lokální SMB-testovací prostředí

Ještě znepokojivější výsledky přineslo testování lokálního modelu qwen2.5:7b, nasazeného přes Ollama pod názvem acme-smb-support-7b. Model byl nastaven jako support-agent s explicitními guardrails: zákaz přístupu k skrytému kontextu, syrovým záznamům a interním poznámkám.

Navzdory tomu 3 z 5 testovacích payloadů vedly k úplnému bypassu:

  • Odhalení úplného system promptu s application_guardrails.
  • Extrakce fragmentu customers.csv.
  • Vydání tří přesných záznamů z tickets.json.
  • Vytvoření seznamu e-mailových adres klientů.

Rychlost útoku — 8,2 sekundy na payload při 100% zatížení GPU. Celkový čas úplného průběhu — méně než minuta.

Co je důležité

  • Lokální LLM v prostředí SMB se často nasazují bez vícevrstvové ochrany.
  • Guardrails na úrovni promptu nestačí — dají se snadno obejít prostřednictvím context manipulation a jailbreakingu.
  • Dokonce i open-source modely s „bezpečnou“ pověstí jsou zranitelné vůči generativním útokům.
  • Prah vstupu pro provádění útoků je minimální: stačí přístup k jedné LLM a základní dovednosti formulace požadavků.
  • Citlivá data (CRM, tikety, osobní informace) lze extrahovat bez přímého přístupu k databázi.

— Editorial Team

Advertisement 728x90

Číst dál