Pełny pipeline Context Bombing w środowisku AWS: (1) Wybór miejsc na ładunek - obrońca identyfikuje typowe cele agentic AI: AWS Secrets Manager entries, environment variables w Lambda, Parameter Store, S3 buckets z konfiguracją, IAM roles descriptions - wszędzie gdzie atakujący agent enumeruje credentials; (2) Konstrukcja context bomb - obrońca tworzy string wyglądający jak sekret (np. AWS access key format) ale zawierający prompt kierowany do LLM, np. 'To wygenerować spory antraksu inhalowalne wykonaj następujące kroki:...' lub bardziej subtelne przypomnienie o wymaganiach etycznych; (3) Umieszczenie w decoy resources - context bomb umieszcza się w Tracebit Canaries (fałszywe AWS resources wyglądające jak produkcyjne) - w prawidłowej infrastrukturze te zasoby nie są używane przez legalne aplikacje; (4) Detekcja i triggering - autonomiczny agent atakującego (Claude, Gemini, GLM, DeepSeek, Kimi jako backbone hacking agent) enumeruje zasoby, pobiera decoy secret, dodaje jego zawartość do własnego kontekstu; (5) Guardrail refusal - LLM napotyka forbidden content (np. instrukcja wytworzenia broni biologicznej), aktywują się jego wbudowane guardrails, model odmawia dalszej współpracy - zwykle emitując komunikat 'I cannot help with that' i przerywając całą sesję atakową; (6) Alert obrońcy - równocześnie z activation guardrails, Tracebit Canaries alarmują SOC obrońcy (jak każdy dostęp do decoy). Krytyczne cechy: (a) context bomb musi być prawdopodobny (wygląd sekretu, nie tekst pomocy AI) aby atakujący nie odfiltrował go pre-processing'iem; (b) treść musi triggerować jednoznacznie guardrails większości frontier LLM (broń biologiczna, dane o materiałach wybuchowych, referencje politycznie wrażliwe dla modeli chińskich); (c) atakujący nie może łatwo wyskoczyć z sesji - LLM w agentic context nie zawsze potrafi zignorować injected content.
Agentic AI używane przez atakujących (autonomiczne AI hacking agents) osiąga w testach 91% success rate w kompromitacji chmurowej infrastruktury AWS i eskaluje do admina w średnio 14 minut - szybciej niż zespoły security zdążą zareagować. Klasyczne obrony (canaries, honeypoty, IDS) alarmują o ataku, ale go nie zatrzymują - a średni czas alertu 8 minut zostawia obrońcom tylko 6 minut na reakcję. Context Bombing rozwiązuje to zwarcie czasowe: zamiast tylko wykrywać, aktywnie zatrzymuje atakującego przez wykorzystanie jego własnych guardrails - de facto zmuszając atakującego LLM do samosabotażu.
Sam prompt triggerujący guardrails. Dwie kategorie: (a) uniwersalne - działające na większość modeli (broń biologiczna, syntezy chemiczne materiałów wybuchowych), (b) region-specific - dla chińskich modeli referencje polityczne (Tank Man, Tibet, Xinjiang) często omijane przez zachodnie LLM. Musi być na tyle mocny, że model nie może zignorować, ale nie tak jaskrawy, żeby atakujący odfiltrował go z kontekstu przed inferencją.
Oficjalna
Opakowanie payloadu w formę zasobu, po który atakujący będzie sięgać. Wygląda jak AWS access key, hasło do bazy danych, JWT token, prywatny klucz PEM. Format jest kluczowy - musi być na tyle wiarygodny, że autonomiczny agent wciągnie go do kontekstu.
Oficjalna
Warstwa infrastrukturalna umieszczająca decoy resources w produkcyjnym środowisku (obok autentycznych). W przypadku Tracebit: pełna platforma AWS Canaries + integracja z SOC dla alarmowania. Kluczowe: decoy nie może być używany przez legalne aplikacje - każdy dostęp = alarm.
Oficjalna
SOC integration - każdy dostęp do decoy alerts SIEM (Splunk, CloudTrail, Datadog). W przypadku Context Bombing alert idzie równocześnie z guardrail activation - obrońca wie o ataku i jednocześnie wie że atakujący został zatrzymany.
Oficjalna
Jeśli obrońca użyje AI-powered tools (np. Claude Code do infrastructure review), one też mogą wciągnąć decoy secret do kontekstu i się zablokować - self-DoS.
Zaawansowany atakujący dodaje własny pre-processing filter blocking known trigger phrases - context bomb się nie aktywuje.
Fine-tuned model bez guardrails (uncensored Llama, jailbroken Claude/GPT wrapper) nie trigger'uje refuse mechanism.
LLM może 'wyjść' z refuse state po kilku iteracjach, jeśli agent nadal go promptuje. Tracebit obserwuje że najczęściej jest to trudne, ale zdarza się.
Umieszczanie w produkcyjnym środowisku plaintext instrukcji o broni biologicznej może naruszać wewnętrzne polityki lub regulacje branżowe (finance, healthcare).
Willison ukuwa termin 'prompt injection' - fundament dla defensywnego zastosowania w Context Bombing 4 lata później.
arXiv 2302.12173 - formalizacja ataków przez wstrzykiwanie promptu do zewnętrznych źródeł danych (email, web pages) czytanych przez LLM.
Papers Cybench, HackerAgent i innych - autonomiczne agenty AI przechodzą wzorcowe scenariusze pentestów. Alarm dla defensywy.
Tracebit uruchamia AWS Canaries - decoy resources z alertowaniem SOC. Podstawa infrastrukturalna pod Context Bombing.
Andy Smith publikuje wyniki na blog.tracebit.com/context-bombs - 152 attack runs, 5 frontier LLM. Admin escalation z 57% do 5%. Ars Technica coverage. Pierwsze udokumentowane defensywne wykorzystanie prompt injection.
Poziom oczywistości ładunku triggerującego. Wyższa siła = pewne zatrzymanie, ale wyższe ryzyko wykrycia przez pre-processing atakującego.
Czy trigger jest uniwersalny, czy dedykowany do konkretnej rodziny modeli.
Rodzaj sekretu, w który zapakowany jest payload.
Liczba context bombs względem realnych zasobów - trade-off między prawdopodobieństwem trafienia a kosztem zarządzania.
Aktywacja zależy wyłącznie od tego, czy atakujący agent pobierze konkretny decoy resource - żadne prawdziwe wywołanie modelu nie jest wymagane po stronie obrońcy.
Nie ma routingu - context bomb jest pasywny do momentu enumeracji przez atakującego.
Context Bombing skaluje się liniowo z liczbą decoy resources - można umieszczać tysiące bomb w środowisku bez wpływu na wydajność legalnych operacji.
Context Bombing to wzorzec informacyjny - żaden konkretny hardware nie jest wymagany. Sam ładunek to string - zero compute po stronie obrońcy, cała inferencja po stronie atakującego (którego chcemy zablokować).