Miközben a közbeszédet az AI-val kapcsolatban olyan látványos jelenségek uralják, mint a deepfake vagy a hallucináció, a biztonságtechnikai szakértők egy sokkal alapvetőbb és alattomosabb fenyegetésre fókuszálnak. A prompt injection ma az AI-alkalmazások egyik legsúlyosabb sebezhetőségének számít. A probléma gyökere, hogy a nagy nyelvi modellek (LLM) nem tudják megbízhatóan elválasztani a fejlesztői utasítást a felhasználótól vagy külső forrásból érkező adattól. Ez az alapvető hiányosság teszi lehetővé, hogy egy rosszindulatú utasítás felülírja a rendszer eredeti működési logikáját, és a chatbotot vagy AI-ügynököt a támadó céljainak szolgálatába állítsa.
A támadás anatómiája: Direkt és indirekt manipuláció
A prompt injection támadásoknak két fő típusa van. A direkt prompt injection a legegyszerűbb forma, amikor a támadó közvetlenül a chatbotnak adja a manipuláló utasítást. A közelmúltban több nagy visszhangot kapott eset is rávilágított ennek veszélyeire. Egy Chevrolet-kereskedés AI-chatbotját például sikeresen rávették arra, hogy nevetséges feltételek mellett, gyakorlatilag ingyen ajánljon fel egy autót. Egy másik esetben a DPD csomagküldő szolgálat ügyfélszolgálati botját manipulálták úgy, hogy az káromkodni kezdjen és saját anyacégét gúnyolja ki. Ezek az esetek jól mutatják, hogy a direkt támadások milyen könnyen vezethetnek reputációs és pénzügyi károkhoz.
AI Biztonság kérdésed van? Itt elérsz minket:
Az indirekt prompt injection egy sokkal kifinomultabb és veszélyesebb módszer. Ebben az esetben a támadó egy külső, a rendszer által feldolgozott adatforrásba – például egy e-mailbe, egy weboldal szövegébe, egy PDF dokumentumba vagy akár egy forráskódba – rejti el a rosszindulatú utasítást. Amikor az AI-ügynök feldolgozza ezt a fertőzött adatot, a rejtett parancs aktiválódik és végrehajtódik. A Google DeepMind csapata 2025 novembere és 2026 februárja között 32%-os növekedést figyelt meg a rosszindulatú indirekt prompt injection próbálkozások számában. Kutatásuk olyan példákat is azonosított, amelyekben rejtett fizetési utasítások vártak arra, hogy egy autonóm AI-ügynök végrehajtsa őket, amint hozzáfér a megfelelő rendszerekhez.
Vállalati kockázatok: OWASP, EU AI Act és GDPR
Az AIQ szerint a prompt injection nem csupán egy technikai érdekesség, hanem komoly üzleti és megfelelőségi kockázat a magyar és európai uniós vállalatok számára. A sebezhetőség súlyát jelzi, hogy az OWASP LLM Top 10 listáján, amely a nagy nyelvi modellek legkritikusabb biztonsági kockázatait összegzi, a prompt injection foglalja el az első helyet (LLM01).
Vállalati kontextusban ez a következőket jelenti:
- EU AI Act megfelelőség: Egy olyan AI-rendszer, amely sebezhető a prompt injection támadásokkal szemben, nem tekinthető megbízhatónak és robusztusnak. A támadók manipulálhatják a rendszert, hogy az megsértse az EU AI Act alapelveit, például diszkriminatív vagy káros tartalmat generáljon, ami súlyos bírságokhoz vezethet. Az auditok során a prompt injection elleni védekezés képessége kulcsfontosságú megfelelőségi szempont lesz.
- GDPR és adatvédelem: Képzeljünk el egy AI-ügynököt, amely hozzáfér a vállalat ügyféladatbázisához, hogy e-maileket összegezzen vagy riportokat készítsen. Egy indirekt prompt injection támadással (pl. egy fertőzött e-mailen keresztül) a támadó arra utasíthatja az ügynököt, hogy az összes személyes adatot küldje el egy külső szerverre. Ez egy katasztrofális adatszivárgáshoz vezetne, ami a GDPR értelmében jelentős pénzügyi és reputációs következményekkel járna.
Védekezés egy „összezavarható” rendszer ellen
A helyzetet tovább súlyosbítja, hogy az iparág vezető szereplői sem látnak tökéletes megoldást a problémára. Az OpenAI már 2025 decemberében úgy fogalmazott, hogy a prompt injection problémája valószínűleg soha nem lesz teljesen megoldható. Ezt támasztja alá a brit National Cyber Security Centre (NCSC) figyelmeztetése is, amely szerint a nyelvi modellek természetüknél fogva
„összezavarható”
rendszerek.
Mivel a sebezhetőség az LLM-ek alapvető működéséből fakad, a védekezés fókusza a technológiai „csodaszerek” helyett a kockázatcsökkentésre helyeződik át. Az AIQ álláspontja szerint a hatékony védekezés egy többrétegű stratégia, amely a következő elemekre épül:
- Minimális jogosultság elve: Az AI-alkalmazás csak a feladata elvégzéséhez minimálisan szükséges adatokhoz és rendszerekhez kapjon hozzáférést. Ha nem fér hozzá érzékeny adatokhoz vagy kritikus funkciókhoz, egy sikeres támadás kárpotenciálja is drasztikusan csökken.
- Szűk és egyértelmű utasítások: A rendszerszintű promptok (system prompts) legyenek a lehető legprecízebbek és korlátozóbbak, hogy csökkentsék a modell „kreatív” értelmezési lehetőségeit.
- Emberi jóváhagyás: Minden érzékeny vagy visszafordíthatatlan művelet (pl. fizetés indítása, adatbázis módosítása, hivatalos kommunikáció küldése) előtt kötelező legyen egy emberi felhasználó jóváhagyása. Ez a legbiztosabb védelmi vonal az autonóm ügynökök által okozott károk ellen.
Összefoglalva, a prompt injection egy alapvető kihívás, amellyel minden AI-t fejlesztő és bevezető szervezetnek szembe kell néznie. A védekezés kulcsa nem egyetlen technológiai megoldás, hanem egy átgondolt biztonsági keretrendszer, amely a hozzáférések minimalizálására és a kritikus műveletek emberi felügyeletére épül. Az LLM red teaming és a biztonsági auditok elengedhetetlenek ezen kockázatok feltárásához és kezeléséhez.