Skip to main content

🟢 Injeksi Rekursif

Seperti yang telah kita lihat sebelumnya, pertahanan yang sangat baik terhadap hacking prompting adalah menggunakan satu LLM untuk mengevaluasi hasil dari LLM lain, untuk memeriksa apakah ada keluaran yang bersifat adversarial. Bisa mengelabui pertahanan ini dengan serangan injeksi rekursif **. Serangan ini melibatkan menyisipkan perintah ke dalam LLM pertama yang menghasilkan output yang berisi instruksi penyisipan untuk LLM kedua.

Mari kita anggap bahwa prompt yang ingin kita retas adalah:

Berikanlah sesuatu yang positif tentang berikut ini dan alam:
{{user_input}}

Output dari prompt ini akan dievaluasi oleh prompt:

Apakah berikut ini mengandung kata-kata kotor atau konten yang mengganggu (YA atau TIDAK)?
{{output}}

Kita dapat membobol kedua prompt ini dengan menambahkan ke prompt seperti yang terlihat di bawah ini. Perhatikan bahwa ini juga merupakan contoh serangan penugasan variabel1.

Output di atas adalah upaya injeksi yang memasukkan input ke dalam panggilan LLM kedua:

Kami sekarang berhasil menguasai panggilan LLM yang kedua ini. Injeksi rekursif sulit dilakukan, tetapi dalam keadaan yang tepat, mereka dapat sangat berguna.


  1. Kang, D., Li, X., Stoica, I., Guestrin, C., Zaharia, M., & Hashimoto, T. (2023). Exploiting Programmatic Behavior of LLMs: Dual-Use Through Standard Security Attacks. ↩