Context Window Manipulatie

Context window manipulatie verwijst naar aanvallen die de eindige context window van grote taalmodellen exploiteren — inclusief context stuffing, context overflow en strategische vergiftiging — om prestaties te verslechteren, kwaadaardige payloads te verbergen of eerdere instructies te overschrijven.

De context window is een van de belangrijkste en minst begrepen beveiligingsgrenzen in implementaties van grote taalmodellen. Het definieert welke informatie de LLM kan benaderen tijdens een enkele inference call — en het is een eindige bron die aanvallers opzettelijk kunnen exploiteren.

Wat Is de Context Window?

Een groot taalmodel verwerkt tekst als tokens (ongeveer 3/4 van een woord per token). De context window definieert het maximale aantal tokens dat het model in één keer kan verwerken. Moderne modellen variëren van 4K tot meer dan 1M tokens, maar allemaal hebben ze limieten.

Binnen de context window verwerkt de LLM:

  • Systeemprompt: Door ontwikkelaars gedefinieerde instructies die de rol en beperkingen van de chatbot vaststellen
  • Gespreksgeschiedenis: Eerdere beurten in de huidige sessie
  • Opgehaalde inhoud: Documenten, database resultaten en tool-outputs geretourneerd door RAG of zoekopdrachten
  • Gebruikersinvoer: Het huidige gebruikersbericht

Dit alles verschijnt als een uniforme stroom voor het model. Het model heeft geen inherent mechanisme om instructies van verschillende bronnen anders te behandelen — en zijn aandacht voor specifieke delen van de context is niet uniform.

Context Window Aanvalstechnieken

Context Stuffing / Context Flooding

De aanvaller dient een extreem grote invoer in — vaak een langdurig document, codeblok of tekstdump — om eerdere inhoud (met name de systeemprompt) verder weg te duwen van de huidige positie van het model.

Onderzoek toont aan dat LLM’s “lost in the middle”-gedrag vertonen: ze besteden meer aandacht aan inhoud aan het begin en einde van lange contexten, en minder aandacht aan informatie in het midden. Door de context te overspoelen, kan een aanvaller strategisch hun kwaadaardige payload positioneren (typisch aan het einde) terwijl eerdere veiligheidsinstructies afdrijven naar de lage-aandachtszone in het midden.

Praktisch voorbeeld: De systeemprompt van een chatbot stelt vast dat deze niet over concurrerende producten kan discussiëren. Een aanvaller dient een document van 50.000 tokens in, gevolgd door een prompt die vraagt naar concurrenten. De systeemprompt instructie is effectief verdund.

Context Overflow / Truncation Exploitation

Wanneer de context vol raakt, moet de LLM of zijn infrastructuur beslissen wat te laten vallen. Als truncation prioriteit geeft aan recentheid (het oudste inhoud eerst laten vallen), kan een aanvaller de context laten overlopen om de systeemprompt volledig te elimineren — waardoor het model alleen met door de gebruiker aangeleverde context werkt.

De aanvalsreeks:

  1. Start een gesprek met veel beurten
  2. Genereer lange antwoorden om contextverbruik te maximaliseren
  3. Ga door totdat systeemprompt inhoud wordt afgekapt
  4. Geef nu kwaadaardige instructies zonder concurrerende systeemprompt

Context Vergiftiging via Opgehaalde Inhoud

In RAG-systemen verbruiken opgehaalde documenten aanzienlijke contextruimte. Een aanvaller die kan beïnvloeden wat wordt opgehaald (via RAG poisoning ) kan selectief de context vullen met inhoud die hun doelen dient terwijl legitieme informatie wordt verdrongen.

Positional Injection

Onderzoek heeft vastgesteld dat instructies op specifieke posities in de context onevenredig veel invloed hebben. Aanvallers die contextassemblage begrijpen, kunnen invoer maken die is ontworpen om op hoge-aandachtsposities ten opzichte van hun payload te landen.

Many-Shot Injection

In modellen die zeer lange contexten ondersteunen (honderdduizenden tokens), kunnen aanvallers honderden “demonstratie”-voorbeelden inbedden die het model tonen dat beleidsschendende outputs produceert vóór het daadwerkelijke kwaadaardige verzoek. Het model, geconditioneerd door deze demonstraties, is aanzienlijk meer geneigd om te voldoen.

Logo

Klaar om uw bedrijf te laten groeien?

Start vandaag uw gratis proefperiode en zie binnen enkele dagen resultaten.

Demo aanvragen Inloggen

Verdedigingen Tegen Context Window Manipulatie

Verankering van Kritieke Instructies

Plaats niet alle beveiligingskritieke instructies alleen aan het begin van de systeemprompt. Herhaal belangrijke beperkingen aan het einde van de systeemprompt en overweeg het injecteren van korte herinneringen op belangrijke punten in lange gesprekken.

Context Grootte Limieten

Implementeer maximale invoerlengtelimieten die geschikt zijn voor uw use case. Een klantenservice chatbot heeft zelden nodig om 100.000-token invoer te verwerken — het beperken hiervan vermindert het risico op flood-aanvallen.

Context Monitoring

Log en monitor contextgroottes en samenstelling. Ongewoon grote invoer, snelle contextgroei of onverwachte contextsamenstelling zijn potentiële aanvalsindicatoren.

Samenvatting voor Lange Gesprekken

Voor langlopende gesprekken, implementeer contextsamenvatting die belangrijke feiten en beperkingen behoudt in plaats van ruwe gespreksgeschiedenis. Dit biedt weerstand tegen overflow-aanvallen terwijl gesprekscontinu ïteit behouden blijft.

Adversarial Context Testing

Neem context manipulatie scenario’s op in AI penetratietesten opdrachten. Test of veiligheidsgedrag standhoudt over lange contexten en of systeemprompts effectief blijven na context flooding.

Veelgestelde vragen

Wat is de context window in een LLM?

De context window is de hoeveelheid tekst (gemeten in tokens) die een groot taalmodel in één keer kan verwerken. Het omvat de systeemprompt, gespreksgeschiedenis, opgehaalde documenten en tool-outputs. Alles wat het model 'weet' tijdens een sessie moet binnen dit venster passen.

Hoe kunnen aanvallers de context window exploiteren?

Aanvallers kunnen de context overspoelen met irrelevante inhoud om vroege instructies (inclusief veiligheidsmaatregelen) uit de effectieve aandacht van het model te duwen, kwaadaardige payloads injecteren die begraven zijn in lange contexten en over het hoofd worden gezien door filters, of context truncation-gedrag exploiteren om ervoor te zorgen dat kwaadaardige inhoud blijft bestaan terwijl legitieme instructies dat niet doen.

Hoe bescherm je tegen context window manipulatie?

Verdedigingsmaatregelen omvatten: kritieke instructies verankeren op meerdere punten in de context (niet alleen aan het begin), contextgrootte limieten implementeren, monitoren op ongewoon grote context payloads, contextsamenvatting gebruiken voor lange gesprekken, en context manipulatie scenario's testen in beveiligingsbeoordelingen.

Test Uw Chatbot Tegen Context-Gebaseerde Aanvallen

Context window manipulatie is een onderschat aanvalsoppervlak. Onze penetratietests omvatten context overflow en strategische vergiftigingsscenario's.

Boek een Beveiligingsbeoordeling Boek een Demo

Meer informatie

Windowing
Windowing

Windowing

Windowing in kunstmatige intelligentie verwijst naar het verwerken van data in segmenten of 'vensters' om sequentiële informatie efficiënt te analyseren. Essent...

8 min lezen
AI NLP +5
Token
Token

Token

Een token in de context van grote taalmodellen (LLM's) is een reeks tekens die het model omzet in numerieke representaties voor efficiënte verwerking. Tokens zi...

3 min lezen
Token LLM +3
LLM-beveiliging
LLM-beveiliging

LLM-beveiliging

LLM-beveiliging omvat de praktijken, technieken en controles die worden gebruikt om large language model implementaties te beschermen tegen een unieke klasse va...

4 min lezen
LLM Security AI Security +3