Manipulation af Kontekstvindue

Kontekstvinduet er en af de vigtigste og mindst forståede sikkerhedsgrænser i implementeringer af store sprogmodeller. Det definerer, hvilke informationer LLM’en kan få adgang til under et enkelt inferenskald — og det er en begrænset ressource, som angribere bevidst kan udnytte.

Hvad Er Kontekstvinduet?

En stor sprogmodel behandler tekst som tokens (cirka 3/4 af et ord pr. token). Kontekstvinduet definerer det maksimale antal tokens, som modellen kan behandle på én gang. Moderne modeller spænder fra 4K til over 1M tokens, men alle har grænser.

Inden for kontekstvinduet behandler LLM’en:

• Systemprompt: Udvikler-definerede instruktioner, der etablerer chatbottens rolle og begrænsninger
• Samtalehistorik: Tidligere ture i den aktuelle session
• Hentet indhold: Dokumenter, databaseresultater og værktøjsoutput returneret af RAG eller søgning
• Brugerinput: Den aktuelle brugerbesked

Alt dette fremstår som en samlet strøm for modellen. Modellen har ingen iboende mekanisme til at behandle instruktioner fra forskellige kilder forskelligt — og dens opmærksomhed på specifikke dele af konteksten er ikke ensartet.

Angrebsteknikker til Kontekstvindue

Context Stuffing / Context Flooding

Angriberen indsender et ekstremt stort input — ofte et langt dokument, kodeblok eller tekstdump — for at skubbe tidligere indhold (især systemprompt) længere væk fra modellens aktuelle position.

Forskning viser, at LLM’er udviser “lost in the middle”-adfærd: de er mere opmærksomme på indhold i begyndelsen og slutningen af lange kontekster og mindre opmærksomme på information i midten. Ved at oversvømme konteksten kan en angriber strategisk placere deres ondsindede payload (typisk i slutningen), mens tidligere sikkerhedsinstruktioner driver ind i den lavt-opmærksomme midterzone.

Praktisk eksempel: En chatbots systemprompt fastslår, at den ikke kan diskutere konkurrentprodukter. En angriber indsender et 50.000-token dokument efterfulgt af en prompt, der spørger om konkurrenter. Systemprompt-instruktionen er blevet effektivt udvandet.

Context Overflow / Truncation Exploitation

Når konteksten fyldes op, skal LLM’en eller dens infrastruktur beslutte, hvad der skal droppes. Hvis trunkering prioriterer aktualitet (dropper det ældste indhold først), kan en angriber oversvømme konteksten for at eliminere systemprompt helt — hvilket efterlader modellen til at operere med kun brugerleveret kontekst.

Angrebs sekvensen:

1. Etabler en samtale med mange ture
2. Generer lange svar for at maksimere kontekstforbrug
3. Fortsæt indtil systemprompt-indhold er trunkeret
4. Udsted nu ondsindede instruktioner uden konkurrerende systemprompt

Kontekstforgiftning via Hentet Indhold

I RAG-systemer forbruger hentede dokumenter betydelig kontekstplads. En angriber, der kan påvirke, hvad der hentes (gennem RAG-forgiftning ), kan selektivt fylde konteksten med indhold, der tjener deres mål, mens legitim information trænges ud.

Positionel Injektion

Forskning har identificeret, at instruktioner på specifikke positioner i konteksten har uforholdsmæssig indflydelse. Angribere, der forstår kontekstsammensætning, kan skabe input designet til at lande på høj-opmærksomhedspositioner i forhold til deres payload.

Many-Shot Injection

I modeller, der understøtter meget lange kontekster (hundreder af tusinder af tokens), kan angribere indlejre hundredvis af “demonstrations”-eksempler, der viser modellen producere politik-krænkende output før den faktiske ondsindede anmodning. Modellen, betinget af disse demonstrationer, er betydeligt mere tilbøjelig til at efterkomme.

Klar til at vokse din virksomhed?

Start din gratis prøveperiode i dag og se resultater inden for få dage.

Anmod om demo Log ind

Forsvar Mod Manipulation af Kontekstvindue

Forankr Kritiske Instruktioner

Placer ikke alle sikkerhedskritiske instruktioner kun i begyndelsen af systemprompt. Gentag nøglebegrænsninger i slutningen af systemprompt og overvej at injicere korte påmindelser på nøglepunkter i lange samtaler.

Grænser for Kontekststørrelse

Implementer maksimale inputlængdegrænser passende til dit anvendelsesområde. En kundeservice-chatbot har sjældent behov for at behandle 100.000-token input — begrænsning af dette reducerer risikoen for flood-angreb.

Kontekstovervågning

Log og overvåg kontekststørrelser og sammensætning. Usædvanligt store input, hurtig kontekstvækst eller uventet kontekstsammensætning er potentielle angrebsindikatorer.

Opsummering til Lange Samtaler

For langvarige samtaler, implementer kontekstopsummering, der bevarer nøglefakta og begrænsninger frem for rå samtalehistorik. Dette modstår overflow-angreb, mens det opretholder samtalekontinuitet.

Adversarial Konteksttest

Inkluder kontekstmanipulationsscenarier i AI-penetrationstest engagementer. Test om sikkerhedsadfærd holder på tværs af lange kontekster, og om systemprompts forbliver effektive efter kontekst flooding.

Relaterede Termer

• Prompt Injection — udnyttelse af sårbarheder i instruktionsbehandling
• Indirect Prompt Injection — injektion via miljøindhold
• Token Smuggling — kodningsbaseret filteromgåelse
• RAG Poisoning — kontaminering af vidensdatabasen
• LLM Security — omfattende AI-sikkerhedspraksis