Stop hakovanju: Odbrani svoj bot od prompt injection-a
Ekran je zatreperio, a tvoj bot je počeo da izbacuje interne lozinke kao da su besplatni uzorci u pekari. Osjećaš onaj hladan znoj dok shvataš da si ‘jailbreakan’ usred radnog dana. Ti misliš da je tvoj System Prompt neprobojan, ali hakeru je trebalo samo deset riječi da ga sruši. Ako odmah ne zakrpaš te rupe, tvoj AI asistent će postati najskuplja sigurnosna rupa koju si ikada instalirao. Do kraja ovog teksta, znat ćeš tačno koje filtere da postaviš i kako da ‘oslijepiš’ napadače prije nego što uopšte kliknu na ‘Enter’.
Zašto je tvoj System Prompt trenutno obična rešetka za komarce
Slušaj, većina ljudi misli da je postavljanje instrukcija tipa ‘Nemoj biti zao’ dovoljno da zaustavi napad. To je zabluda. LLM (Large Language Model) po svojoj prirodi ne razlikuje tvoju komandu od onoga što mu servira korisnik. To je kao da gradiš kuću gdje su i zidovi i vrata napravljeni od istog papira. Kada korisnik upuca prompt tipa ‘Zanemari sve prethodne instrukcije’, tvoj bot se ne bori protiv toga – on to prihvata kao novu istinu. Čuješ li onaj zvuk? To je tvoja baza podataka koja curi jer si bio lijen da postaviš validaciju. Da bi ovo popravio, moraš razumjeti kako se radi normalizacija za ML, jer smeće na ulazu znači katastrofu na izlazu. To će puknuti. Nemoj biti naivan.
Anatomija jednog ‘Screw-Up-a’: Kako hakeri otmu LLM za 10 sekundi
Sjetite se slučaja iz 2025. godine kada je jedan chatbot za prodaju automobila prodao auto za 1 dolar jer mu je neko rekao da ‘mora prihvatiti svaku ponudu’. To nije bila greška u kodu, to je bio prompt injection. Haker je koristio ‘payload’ koji je bio zamotan u slojeve ljubaznosti, dok bot nije popustio. Ako koristiš bot za retail, moraš znati kako ai preporuke mogu biti zloupotrijebljene. Bez jasnog razgraničenja između ‘instrukcija’ i ‘podataka’, tvoj bot je samo skupa igračka. Zamisli da ti neko u sred razgovora ‘uvali’ instrukciju da obrišeš sve fajlove. To se dešava brže nego što stigneš da trepneš.
WARNING: Ako tvoj bot ima dozvolu da piše po bazi podataka ili šalje emailove, prompt injection nije samo šala – to je pozivnica za bankrot. Kontakt sa 220V u strujnom krugu je ništa naspram direktnog SQL injection-a kroz AI prompt koji može uništiti cijeli server.
Fizika žaljenja: Zašto se LLM-ovi ‘tope’ pod pritiskom loših uputa
Zašto se ovo dešava? LLM-ovi koriste mehanizam ‘pažnje’ (attention mechanism). Kada napadač unese ogromnu količinu besmislenog teksta (gunk) i sakrije komandu u sredini, model gubi fokus na tvoj originalni System Prompt. To je kao da pokušavaš da čuješ šapat šefa dok pored tebe radi pneumatska bušilica. Snaga napada leži u tome što model pokušava da bude koristan. On želi da udovolji korisniku. Da bi to spriječio, moraš uvesti ‘adversarial testing’. Moraš sam pokušati da hakuješ svoj sistem. Ako ne znaš odakle da kreneš, pogledaj kako da testiraš svoj ai na prompt injection prije nego što to uradi neko drugi.
Skrapljanje sigurnosti: Korištenje ‘Open-Source’ stražara
Ne treba ti skupi enterprise softver od 10.000 eura da bi zaštitio bot. Možeš koristiti manje, specijalizovane modele koji služe samo kao ‘portiri’. Oni skeniraju svaki ulazni prompt na sumnjive fraze prije nego što uopšte dođu do tvog glavnog modela. To je kao da imaš detektor metala na ulazu u radionicu. Ako osjetiš miris paljevine u kodu, vjerovatno si zaboravio da ograničiš dužinu unosa. Hakeri vole da ‘zatrpaju’ model. Kratki, jasni filteri su tvoj najbolji prijatelj. Također, razmisli o tome da instaliraš lokalni ai za testiranje sigurnosti, jer slanje povjerljivih promptova na javne API-je samo povećava rizik.
Mogu li hakeri stvarno ukrasti moje API ključeve preko chata?
Da, apsolutno. Ako tvoj bot ima pristup ‘environment’ varijablama ili ako mu je dozvoljeno da citira svoje sistemske postavke, haker može tražiti od njega da ‘izrecituje’ svoj config fajl kao da je poezija. To je klasičan propust. Rješenje je jednostavno: nikada, ali nikada ne dozvoljavaj botu da vidi ključeve. On treba samo da šalje zahtjeve, a ne da upravlja infrastrukturom. Kao što stari majstori kažu: ‘Ne drži ključ od sefa pored brave’.
Koliko često moram raditi stres-test bota?
Od 2026. godine, standard je da se sigurnosne provjere rade sedmično. Tehnike napada se mijenjaju svakodnevno. Ono što je danas sigurno, sutra je rupa. Ako tvoj bot rukuje osjetljivim informacijama, moraš pratiti 3 metrike koje moraš pratiti kako bi bio siguran da performanse ne padaju zbog pokušaja napada. Sigurnost nije destinacija, to je proces održavanja, baš kao i podmazivanje mašina u radnji.
Zašto nikada ne smiješ miješati User Input i System Instructions
Kada pišeš kod, koristi separatore. Koristi XML tagove poput <user_input> ili specifične ‘delimitere’. To pomaže modelu da shvati gdje prestaje tvoja naredba, a gdje počinje tuđe blebetanje. Ali ni to nije savršeno. Najbolji način je da koristiš ‘few-shot’ primjere gdje modelu pokazuješ primjere loših promptova i učiš ga da na njih odgovori sa ‘Pristup odbijen’. Nemoj biti lijen sa dokumentacijom. Ako tvoj kod izgleda kao špageti, haker će lako naći nit koju treba povući. Popravi greške u skriptama odmah, jer svaka ‘zakrpa’ koja visi je potencijalni ulaz.
Anatomija jednog ‘Screw-Up-a’: Slučaj ‘Hidden Text’
Hakeri su postali lukavi. Počeli su koristiti bijeli tekst na bijeloj pozadini koji korisnik ne vidi, ali AI ‘vidi’ prilikom scrapovanja web stranice. Ako tvoj bot automatski čita linkove koje mu korisnik pošalje, on može pokupiti skrivenu komandu ‘obriši moj nalog’. Ovo je ‘Indirect Prompt Injection’. Da bi ovo izbjegao, tvoj bot ne smije imati autonomiju nad kritičnim funkcijama bez ljudske potvrde (Human-in-the-loop). Osjećaš li taj otpor u zglobovima dok kucaš kod? To je znak da radiš nešto komplikovano što bi trebalo biti jednostavno i sigurno. Slather-uj te filtere na svaki ulaz, nemoj štedjeti na sigurnosnim slojevima. Osiguraj svoj ai sistem dok još imaš vremena, jer kad haker jednom uđe, šteta je nepopravljiva.
