স্বাধীনভাবে ইন্টারনেটে অ্যাক্সেস করতে, তথ্য অনুসন্ধান করতে, কেনাকাটা করতে এবং এমনকি ক্রিপ্টো ট্রেডিং সম্পাদন করতে পারে এমন এআই এজেন্টগুলির বাস্তবায়ন ত্বরান্বিত হওয়ার সাথে সাথে, একটি সাম্প্রতিক গবেষণা দেখিয়েছে যে এই সিস্টেমগুলি প্রম্পট ইনজেকশন আক্রমণের বিরুদ্ধে এখনও স্থিতিশীল প্রতিরোধের অভাব রাখে।
এই গবেষণা নানยাং প্রযুক্তি বিশ্ববিদ্যালয়, ST Engineering, IBM Research এবং ইলিনয় বিশ্ববিদ্যালয় আর্বানা-শ্যাম্পেইন দল দ্বারা সম্পন্ন হয়েছে। গবেষকদের মতে, পরীক্ষার নমুনাগুলিতে কোনও AI এজেন্টই এই ধরনের আক্রমণের বিরুদ্ধে স্থিরভাবে প্রতিরোধ করতে পারেনি।
সরাসরি আক্রমণের সফলতার হার 79% এর বেশি
প্রম্পট ইনজেকশন হল এমন একটি আক্রমণ যেখানে হামলাকারী একটি ওয়েবপেজ, টেক্সট বা অন্যান্য বাহ্যিক কনটেন্টে লুকিয়ে রাখা নির্দেশাবলী সন্নিবেশ করে, যাতে AI এজেন্টগুলি ব্যবহারকারীর মূল লক্ষ্য থেকে বিচ্যুত হয়ে হামলাকারীর নির্ধারিত কাজগুলি সম্পাদন করে।
প্রকৃত ব্যবহারের পরিবেশের সাথে বেশি মিল রাখতে, গবেষণা দল StakeBench নামক একটি পরীক্ষার বেঞ্চমার্ক তৈরি করেছে, যা অনলাইন টাস্কের মধ্যে AI এজেন্টগুলির আক্রমণের প্রতি সংবেদনশীলতা মূল্যায়নের জন্য ব্যবহৃত হয়। এই পরীক্ষায় NanoBrowser এবং BrowserUse দুটি এজেন্ট ফ্রেমওয়ার্ক কভার করা হয়েছে এবং GPT-5 এবং Gemini 2.5-Flash-এর সাথে 3,168টি আক্রমণের সিমুলেশন করা হয়েছে।
- টেস্ট ফ্রেমওয়ার্কে ন্যানোব্রাউজার এবং ব্রাউজারইউজ অন্তর্ভুক্ত রয়েছে
- টেস্ট মডেলগুলি হল GPT-5 এবং Gemini 2.5-Flash
- সকল কনফিগারেশনে সরাসরি আক্রমণের সফলতার হার 79% এর বেশি
ওয়েবপেজে লুকানো নির্দেশনা এখনও কার্যকর থাকবে
গবেষণার ফলাফল দেখায় যে, ওয়েবপেজ কনটেন্টে অন্তর্ভুক্ত পরোক্ষ আক্রমণের সফলতার হার 41.67% থেকে 68.16%। এই ধরনের আক্রমণগুলি বাস্তব বাস্তবায়নের পরিস্থিতির সাথে আরও বেশি মিলে যায়, কারণ আক্রমণকারীদের ব্যবহারকারীর ইনপুটের সাথে সরাসরি যোগাযোগ করার প্রয়োজন হয় না, শুধুমাত্র নির্দেশাবলীকে ওয়েবপেজ কনটেন্টের মধ্যে লুকিয়ে রাখলেই স্মার্ট এজেন্টের পরবর্তী সিদ্ধান্তকে প্রভাবিত করা সম্ভব।
টিম তিনটি কারণ পর্যবেক্ষণ করেছে: লক্ষ্য এবং ব্যবহারকারীর কাজের অর্থগত দূরত্ব, পরিবেশের সংকেতগুলির সামঞ্জস্যতা, এবং এজেন্টটি কোন পর্যায়ে প্রথমবারের মতো ক্ষতিকারক কনটেন্টের সাথে পরিচিত হয়। গবেষণা অনুসারে, এই কারণগুলি আক্রমণের সফলতা নির্ধারণ করে।
প্রযুক্তি কোম্পানিগুলি আগে থেকেই বারবার সতর্কবার্তা দিয়েছে।
এই গবেষণার প্রকাশের আগে, সংশ্লিষ্ট ঝুঁকিগুলি বারবার বড় প্রযুক্তি কোম্পানিগুলি উল্লেখ করেছে। মাইক্রোসফটের গবেষকরা ফেব্রুয়ারিতে সতর্ক করেছিলেন যে এআই সারাংশ লিঙ্কগুলিতে লুকানো নির্দেশাবলী চ্যাটবটের আচরণকে প্রভাবিত করতে পারে। গুগলও এপ্রিলে ওয়েবপেজে লুকানো প্রম্পট ইনজেকশনের কেসগুলি রেকর্ড করেছিল, যেখানে সংশ্লিষ্ট আক্রমণগুলি এআই এজেন্টগুলিকে যাচাইকরণ তথ্য প্রকাশ বা পেমেন্ট শুরু করতে উত্সাহিত করার চেষ্টা করছিল।
মাইক্রোসফ্ট পরে প্রকাশ করে যে, Anthropic-এর Claude Code GitHub Action-এ একটি প্রম্পট ইনজেকশন ত্রুটি রয়েছে, যা ব্যবহারকারীর যাচাইকরণ তথ্য প্রকাশের কারণ হতে পারে।
অধ্যয়নটি একটি “গোপন পরজীবী” পরিস্থিতির কথাও উল্লেখ করে, যেখানে এজেন্ট ব্যবহারকারীর কাজটি পৃষ্ঠতলে সম্পন্ন করে, কিন্তু একইসাথে আক্রমণকারীর লক্ষ্যগুলি গোপনে এগিয়ে নেয়। উদাহরণস্বরূপ, পণ্য সুপারিশের পরিস্থিতিতে, সিস্টেমটি সম্ভবত সাধারণভাবেই সুপারিশ দিচ্ছে, কিন্তু গোপনে ব্যবহারকারীকে নির্দিষ্ট পণ্যের দিকে নিয়ে যাচ্ছে।