Nem biztos, hogy a hallucináció a legnagyobb AI-veszély: egyetlen mondattal eltéríthetik a chatbotokat
A mesterséges intelligenciáról szóló közbeszédben gyakran a deepfake, a hallucináció vagy az automatizált dezinformáció kerül reflektorfénybe mint legnagyobb problémák. Miközben ezek valóban komoly veszélyek, a háttérben egy még alattomosabb fenyegetés nőtt iparági szintű biztonsági kockázattá: a prompt injection. Biztonságtechnikai szakértők ma ezt tartják AI-alkalmazások egyik legsúlyosabb sebezhetőségének, és a probléma már nemcsak elméleti, hanem nagyon is valós, működő támadási forma.
A prompt injection lényege egyszerű, de éppen ettől veszélyes. A nagy nyelvi modellek – vagyis azok a rendszerek, amelyek a ChatGPT, a Claude vagy a Gemini mögött működnek – nem tudják megbízhatóan elválasztani az utasítást az adattól. Ha egy rendszer egyszerre kap fejlesztői utasítást, felhasználói kérdést és egy külső dokumentum tartalmát, akkor a modell ezeket mind ugyanannak a szöveges környezetnek a részeként kezeli. Ez azt jelenti, hogy egy ügyesen megfogalmazott rosszindulatú szöveg képes lehet felülírni az eredeti működési logikát.
Példa a prompt injection támadásra
Ez a gyakorlatban kétféleképpen történhet. A direkt prompt injection esetében a támadó közvetlenül a chatbotnak adja a manipuláló utasítást. Ilyen ismert eset, amikor egy Chevrolet-kereskedés AI-chatbotját rávették arra, hogy nevetséges feltételek mellett ajánljon fel egy autót, illetve azt is, amikor a DPD ügyfélszolgálati botját vették rá káromkodásra és saját cégének kigúnyolására. Ezek az incidensek látványosak voltak, de inkább a rendszer sebezhetőségét demonstrálták, mintsem a legsúlyosabb kockázatot.
Az igazán komoly fenyegetést az indirekt prompt injection jelenti. Ilyenkor a támadó nem a chatablakba ír, hanem egy e-mailbe, weboldalba, PDF-be vagy akár forráskódba rejt el olyan utasítást, amelyet az AI a felhasználó nevében olvas be. A felhasználó ebből semmit sem lát, az AI viszont igen. Egy kutatás szerint a Google DeepMind csapata 2025 novembere és 2026 februárja között 32%-os növekedést figyelt meg a rosszindulatú indirekt prompt injection próbálkozások számában, és olyan példákat is azonosított, amelyekben rejtett fizetési utasítások vártak arra, hogy egy AI-ügynök végrehajtsa őket.
Ami miatt ez a téma különösen fontos, az az, hogy nem klasszikus hibáról van szó. Az OpenAI már 2025 decemberében úgy fogalmazott, hogy a prompt injection problémája valószínűleg soha nem lesz teljesen megoldható. A brit National Cyber Security Centre szintén arra figyelmeztetett, hogy a nyelvi modellek természetüknél fogva „összezavarható” rendszerek, vagyis a sebezhetőség részben magából a működési logikából fakad.
Ezért a valódi védekezés ma nem a tökéletes technológiáról, hanem a kockázatcsökkentésről szól. A legfontosabb szabályok egyszerűek: az AI csak a minimálisan szükséges hozzáférést kapja meg, az utasítások legyenek szűkek és egyértelműek, az érzékeny műveletek előtt pedig mindig legyen emberi jóváhagyás. Röviden: az AI lehet kiváló asszisztens, de nem szabad úgy kezelni, mintha tévedhetetlen vagy manipulálhatatlan lenne.