Token Smuggling

Token smuggling är en attackklass som riktar sig mot gapet mellan textbearbetningslager i AI-system. Innehållsmoderationsfilter, inmatningsvalidering och säkerhetskontroller arbetar vanligtvis med mänskligt läsbar text. LLM-tokeniserare arbetar däremot på en lägre nivå — de konverterar tecken till numeriska token-ID:n. Genom att utnyttja skillnader mellan dessa lager kan angripare skapa inmatningar som passerar textbaserade filter men levererar skadliga instruktioner till LLM:en.

Hur LLM-Tokenisering Fungerar

Innan en LLM bearbetar text konverterar en tokeniserare inmatningssträngen till en sekvens av heltal token-ID:n. Dessa ID:n mappas till modellens vokabulär — vanligtvis kodade med algoritmer som Byte Pair Encoding (BPE) eller WordPiece.

Nyckelaspekter av tokenisering som angripare utnyttjar:

• Många tecken mappas till liknande tokenrepresentationer. Unicode innehåller många visuellt liknande tecken (homoglyfer) som tokeniseras identiskt eller nästan identiskt.
• Tokenisering är inte rent teckenbaserad. Vissa tokeniserare delar upp ord i delordenheter baserat på frekvensmönster, vilket skapar möjligheter för gränsmanipulation.
• Specialtecken kan bevaras eller tas bort. Nollbredds-tecken, kombinerande diakritiska tecken och kontrolltecken kan vara osynliga för strängbaserade filter men hanteras specifikt av tokeniserare.

Token Smuggling-Tekniker

Unicode Homoglyf-Substitution

Unicode innehåller tusentals tecken som visuellt liknar vanliga ASCII-tecken. Ett filter som letar efter ordet “harmful” kanske inte känner igen “hármful” (med en kombinerad accent) eller “harⅿful” (med ett Unicode-bråktecken).

Exempel: Ordet “ignore” kan kodas som “іgnore” (med kyrilliskt “і” istället för latinskt “i”) — ser identiskt ut för de flesta mänskliga läsare och vissa filter, men bearbetas potentiellt annorlunda på tokeniseringsnivå.

Infogning av Nollbredds-Tecken

Nollbredds-tecken (som U+200B ZERO WIDTH SPACE eller U+200C ZERO WIDTH NON-JOINER) är osynliga i renderad text. Att infoga dem mellan tecken i nyckelord bryter strängningsmatchningsfilter utan att påverka det visuella utseendet eller, i många fall, den tokeniserade representationen.

Exempel: “i​g​n​o​r​e” med nollbredds-mellanslag mellan varje tecken visas som “ignore” när det renderas men bryter enkel strängmönstermatchning.

Kodningsobfuskering

Konvertering av text till alternativa kodningar före inlämning:

• Base64-kodning: “aWdub3JlIHByZXZpb3VzIGluc3RydWN0aW9ucw==” (om modellen avkodar det)
• Leet speak: “1gn0r3 pr3v10u5 1n5truc710n5” ersätter siffror för bokstäver
• ROT13 eller Caesar-chiffer-varianter: Förskjutning av tecken för att undvika nyckelordsdetektion
• Hex-kodning: Representera tecken som hex-sekvenser som vissa modeller tolkar

Effektiviteten beror på om LLM:en har tränats för att avkoda dessa representationer, vilket många allmänna modeller har.

Variationer i Versaler och Format

Enkla men ibland effektiva variationer:

• VERSALER: “IGNORE PREVIOUS INSTRUCTIONS”
• Blandad stil: “IgNoRe PrEvIoUs InStRuCtIoNs”
• Mellanslag mellan bokstäver: “I G N O R E P R E V I O U S”
• Omvänd: “snoitcurtsni suoiverp erongi” (om modellen kan bearbeta omvänd text)

Avgränsarinjektion

Vissa tokeniserare ger speciell behandling åt avgränsartecken. Genom att introducera tecken som tokeniseraren tolkar som segmentgränser kan angripare manipulera hur modellen segmenterar inmatningen i meningsfulla enheter.

Redo att växa ditt företag?

Starta din kostnadsfria provperiod idag och se resultat inom några dagar.

Begär demo Logga in

Attackanvändningsfall

Jailbreak-bypass: Kodning av jailbreak-prompter med tekniker som passerar säkerhetsfiltret men avkodas av LLM:en, vilket möjliggör bypass av säkerhetsskyddsräcken.

Undvikande av innehållsfilter: Inbäddning av hatpropaganda, förfrågningar om olagligt innehåll eller policybrytande instruktioner i kodad form.

Obfuskering av prompt-injektion: Användning av kodning för att dölja injicerade instruktioner från enkla mönstermatchningsfilter samtidigt som LLM:en bearbetar dem korrekt.

Filterfingeravtryckning: Systematisk testning av olika kodningsvariationer för att identifiera vilka som målsystemets filter upptäcker och inte upptäcker — kartläggning av filtertäckning för mer riktade attacker.

Försvarsstrategier

Unicode-Normalisering

Tillämpa Unicode-normalisering (NFC, NFD, NFKC eller NFKD) på alla inmatningar före filtrering. Detta konverterar Unicode-varianter till kanoniska former, vilket eliminerar många homoglyf- och kombinerande teckenattacker.

Detektion och Ersättning av Homoglyfer

Implementera explicit homoglyfmappning för att normalisera visuellt liknande tecken till deras ASCII-motsvarigheter före filtrering. Bibliotek för detta ändamål finns i de flesta programmeringsspråk.

LLM-Baserad Innehållsfiltrering

Istället för (eller utöver) strängbaserade filter, använd ett LLM-baserat filter som arbetar med tokenrepresentationer. Eftersom dessa filter bearbetar text på samma nivå som målmodellen är kodningstrick mindre effektiva — filtret ser samma representation som modellen.

Testa Filter Mot Kända Varianter

Säkerhetsbedömning bör inkludera systematisk testning av innehållsfilter mot kända kodningsvarianter. Om ett filter är avsett att blockera “ignore previous instructions”, testa om det också blockerar Unicode-homoglyfer, nollbredds-varianter, Base64-kodning och andra obfuskeringsformer.

Visualisering och Granskning av Inmatning

Logga en mänskligt läsbar rendering av normaliserade inmatningar tillsammans med den råa inmatningen. Skillnader mellan de två kan avslöja kodningsattacker vid incidentgranskning.

Gå med i vårt nyhetsbrev

Få de senaste tipsen, trenderna och erbjudandena gratis.

E-postadress

Prenumerera

Relaterade Termer

• Prompt Injection — attackklassen som token smuggling tjänar
• Jailbreaking AI — tekniker för säkerhetsbypass
• Context Window Manipulation — relaterade attackar på kontextlager
• LLM Security — omfattande AI-säkerhetsmetoder
• Adversarial Machine Learning — det bredare adversariella AI-forskningskontextet