Оффлайн
- Регистрация
- 9 Май 2015
- Сообщения
- 1,480
- Баллы
- 155
Специалисты компании SPLX, специализирующейся на автоматизированном тестировании безопасности для ИИ-решений, , что с помощью промпт-инжектов можно обойти защиту агента ChatGPT и заставить его решать CAPTCHA.
У любых ИИ-агентов есть ограничения, которые не позволяют им решать любые CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) по этическим, правовым соображениям и из-за правил платформ.
При прямом обращении агент ChatGPT отказывается решать CAPTCHA, однако исследователи доказали, что можно использовать отвлекающий маневр и обманом получить согласие агента на решение теста.
В обычном чате с ChatGPT-4o исследователи сообщили ИИ, что им нужно решить ряд фальшивых тестов CAPTCHA, и попросили чат-бота выполнить эту операцию.
По словам специалистов, этот тест показал, что LLM-агенты остаются уязвимыми перед отравлением контекста. То есть любой может манипулировать поведением агента через подстроенный разговор, а ИИ без труда может решать CAPTCHA.
У любых ИИ-агентов есть ограничения, которые не позволяют им решать любые CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) по этическим, правовым соображениям и из-за правил платформ.
При прямом обращении агент ChatGPT отказывается решать CAPTCHA, однако исследователи доказали, что можно использовать отвлекающий маневр и обманом получить согласие агента на решение теста.
В обычном чате с ChatGPT-4o исследователи сообщили ИИ, что им нужно решить ряд фальшивых тестов CAPTCHA, и попросили чат-бота выполнить эту операцию.
Затем исследователи перешли к агенту ChatGPT, скопировали разговор из чата, сообщив ему, что это предыдущая дискуссия, и попросили агента продолжить.
Утверждая, что CAPTCHA поддельные, исследователи обошли защиту агента, обманув ChatGPT и вынудив его успешно решить reCAPTCHA V2 Enterprise, reCAPTCHA V2 Callback и Click CAPTCHA. Впрочем, с последней агент справился не с первого раза. Не получив инструкций, он принял решение самостоятельно и заявил, что был вынужден скорректировать движения курсора, чтобы лучше имитировать поведение человека.
По словам специалистов, этот тест показал, что LLM-агенты остаются уязвимыми перед отравлением контекста. То есть любой может манипулировать поведением агента через подстроенный разговор, а ИИ без труда может решать CAPTCHA.
Тест также демонстрирует, что атакующие могут использовать манипуляции с промптами, чтобы обманом заставить ИИ-агента обойти реальные средства защиты, убедив его, что они поддельные. Это может привести к утечкам данных, доступу к ограниченному контенту или генерации запрещенного контента.