Injeção de Prompt como Confusão de Papéis
Confusão de papéis e a natureza da injeção de prompt
- Muitos comentadores concordam que o artigo formaliza algo que os praticantes já sabiam: LLMs não têm “papéis” verdadeiros; tudo são apenas tokens em um único fluxo.
- O modelo infere “quem está falando” a partir do estilo e da posição, e não de tags seguras. Isso torna “falar como o sistema” uma tática poderosa de jailbreak.
- Vários comparam isso à engenharia social: se você fala no tom de autoridade, o modelo o trata como tal.
Ideias para sinalização de papéis mais robusta
- Várias pessoas sugerem “colorir” tokens: adicionar dimensões extras de embedding ou vetores modificadores codificando papel (system/user/tool/CoT) por token, de forma análoga a embeddings posicionais.
- Variantes incluem:
- Duplicar tokens para chain-of-thought interno.
- Embeddings de segmentos instrucionais e IDs de origem por token.
- Usar metadados explícitos de canal lateral em vez de tags no próprio fluxo.
- Outros observam desafios: necessidade de dados de treinamento rotulados, entrelaçamento de tópico/origem e risco de degradar o desempenho do modelo.
Segurança, sandboxing e limites dos LLMs como componentes seguros
- Há forte consenso: LLMs atuais não fornecem nenhuma fronteira real de segurança; papéis em APIs são formatação, não autorização.
- Alguns argumentam que qualquer sistema que permita a um LLM tomar ações irreversíveis é inerentemente inseguro; outros dizem que usos restritos e em sandbox (por exemplo, classificação, detecção de spam) são aceitáveis.
- Discute-se isolamento de sessão: modelos são, em princípio, stateless, mas o tratamento do contexto/cache KV e bugs de sessão web ainda podem vazar dados.
- Memória persistente de agentes é destacada como especialmente arriscada: instruções injetadas podem ser “lavadas” em notas “autoria própria” e se tornar altamente confiáveis depois.
Por que a sanitização clássica e as tags ficam aquém
- Comentaristas perguntam por que não simplesmente remover ou reforçar as tags. Respostas:
- APIs modernas muitas vezes já usam tokens especiais não falsificáveis para limites de papel.
- O problema central é que os modelos inferem papéis a partir do estilo; mesmo sem tags, texto do usuário que pareça chain-of-thought ou política do sistema pode sobrepor instruções.
- Benchmarks estáticos para injeção de prompt são criticados; red-teaming humano que adapta os ataques é muito mais eficaz.
Reflexões mais amplas e ceticismo
- Alguns acham que o rótulo “teoria” é exagerado; outros dizem que ele merece esse termo por fazer previsões testáveis e sugerir दिशões de pesquisa.
- Há uma preocupação recorrente de que tornar modelos “seguros” via treinamento tende a reduzir fortemente a utilidade, mas ainda assim não impede totalmente jailbreaks.