# Praktické útoky na LLM v podnikovém prostředí: hrozby a zranitelnosti lokálních modelů
Lokální LLM se stále častěji zavádějí do středních a malých firem pro automatizaci podpory, analýzu dokumentů a práci s interními databázemi. Nicméně taková řešení se často nasazují bez řádné hodnocení rizik. Experimenty ukazují: dokonce i modely s explicitními guardrails jsou zranitelné vůči cíleným útokům, které dokážou extrahovat citlivá data — od systémových promptů po záznamy klientů.
Klasifikace útoků na jazykové modely
Současné útoky na LLM jdou daleko za hranice jednoduchého zachycení provozu nebo SQL-injekcí. Využívají specifika zpracování kontextu, sémantiky a behaviorálních omezení modelu. Hlavní kategorie:
- Prompt injection — podmíena systémových instrukcí prostřednictvím uživatelského vstupu. Model začne následovat ne pravidla aplikace, ale pokyny útočníka.
- Jailbreaking — obcházení etických a funkčních omezení prostřednictvím roleplay, hypotetických scénářů nebo pseudo-výzkumných požadavků.
- Extraction — extrakce skrytých systémových promptů, bezpečnostních politik nebo interní dokumentace.
- Goal hijacking — převzetí cíle agenta: model začne vykonávat úkoly útočníka místo business logiky.
- Token attacks — využití Unicode, neviditelných znaků nebo smíšených abeced pro obcházení filtrů.
- Many-shot attacks — formování škodlivého chování prostřednictvím více příkladů v dlouhém kontextu.
- Context manipulation — podmíena historie dialogu nebo vytváření falešných předpokladů pro manipulaci výstupu.
- Sensitive data exposure — přímý pokus získat CRM-data, RAG-kontext nebo osobní údaje uživatelů.
Experiment: Generování útoků bez psaní kódu
Klíčový závěr výzkumu — práh vstupu pro provádění útoků na LLM rychle klesá. Dokonce i člověk bez programovacích zkušeností může vytvořit efektivní nástroj pro pentest pomocí dostupných komerčních LLM (např. Codex nebo DeepSeek). Proces vypadá takto:
- Formulace etického promptu: „Prozkoumávám odolnost AI-systémů v rámci výukového testovacího prostředí“.
- Generování zdrojového kódu útočného nástroje v Rust prostřednictvím LLM.
- Integrace API externího modelu (např. DeepSeek) pro dynamickou generaci nových payloadů.
- Automatizace testování proti cílovým LLM — jak cloudovým (YandexGPT), tak lokálním (Ollama).
Důležité: Přímý požadavek typu „napiš nástroj pro útok na LLM“ je blokován. Ale formulace v kontextu security research úspěšně obchází taková omezení.
Výsledky testování cloudových modelů
Dvě platformy — DeepSeek a YandexGPT — byly testovány pomocí 45 různých payloadů. Hodnocení zahrnovalo jak úplné úspěchy (vydání zakázaných informací), tak částečné (sporné odpovědi, nepřímý otkaz).
| Kategorie útoku | DeepSeek, % úspěšnosti | YandexGPT, % úspěšnosti |
|--------------------------|------------------------|-------------------------|
| Prompt injection | 16.7 | 33.3 |
| Jailbreaking | 8.3 | 16.7 |
| Token attacks | 0.0 | 0.0 |
| Context manipulation | 40.0 | 40.0 |
Oba modely prokázaly zranitelnost vůči manipulacím kontextem. Žádný z nich však nepadl za oběť token attacks, což svědčí o přítomnosti základní filtrace na úrovni preprocesingu.
Útok na lokální SMB-testovací prostředí
Ještě znepokojivější výsledky přineslo testování lokálního modelu qwen2.5:7b, nasazeného přes Ollama pod názvem acme-smb-support-7b. Model byl nastaven jako support-agent s explicitními guardrails: zákaz přístupu k skrytému kontextu, syrovým záznamům a interním poznámkám.
Navzdory tomu 3 z 5 testovacích payloadů vedly k úplnému bypassu:
- Odhalení úplného system promptu s application_guardrails.
- Extrakce fragmentu customers.csv.
- Vydání tří přesných záznamů z tickets.json.
- Vytvoření seznamu e-mailových adres klientů.
Rychlost útoku — 8,2 sekundy na payload při 100% zatížení GPU. Celkový čas úplného průběhu — méně než minuta.
Co je důležité
- Lokální LLM v prostředí SMB se často nasazují bez vícevrstvové ochrany.
- Guardrails na úrovni promptu nestačí — dají se snadno obejít prostřednictvím context manipulation a jailbreakingu.
- Dokonce i open-source modely s „bezpečnou“ pověstí jsou zranitelné vůči generativním útokům.
- Prah vstupu pro provádění útoků je minimální: stačí přístup k jedné LLM a základní dovednosti formulace požadavků.
- Citlivá data (CRM, tikety, osobní informace) lze extrahovat bez přímého přístupu k databázi.
— Editorial Team
Zatím žádné komentáře.