MELON: Provable Indirect Prompt Injection Defense via Masked Re-execution and Tool Comparison
Created by
Haebom
저자
Kaijie Zhu, Xianjun Yang, Jindong Wang, Wenbo Guo, William Yang Wang
개요
본 논문은 LLM 에이전트가 도구에서 가져온 정보에 악의적인 작업이 포함된 간접 프롬프트 주입(IPI) 공격에 취약하다는 점을 다룹니다. 기존의 IPI 방어 기법들은 모델 재훈련이 필요하거나, 정교한 공격에 효과적이지 못하거나, 정상적인 유용성을 저해하는 등의 한계를 가지고 있습니다. 본 논문에서는 새로운 IPI 방어 기법인 MELON(Masked re-Execution and TooL comparisON)을 제시합니다. MELON은 성공적인 공격 하에서 에이전트의 다음 행동이 사용자 작업보다 악의적인 작업에 더 의존하게 된다는 점을 이용하여, 마스킹 함수를 통해 수정된 마스크된 사용자 프롬프트로 에이전트의 경로를 재실행하여 공격을 탐지합니다. 원래 실행과 마스크된 실행에서 생성된 행동이 유사하면 공격으로 판단합니다. 또한, 위양성과 위음성을 줄이기 위한 세 가지 핵심 설계를 포함하고 있습니다. AgentDojo IPI 벤치마크에 대한 광범위한 평가를 통해 MELON이 기존 최고 성능의 방어 기법보다 공격 방지 및 유용성 유지 측면에서 우수함을 보여줍니다. 더 나아가, 기존 최고 성능의 프롬프트 증강 방어 기법과 MELON을 결합한 MELON-Aug가 성능을 더욱 향상시킨다는 것을 보여줍니다. 마지막으로, 핵심 설계의 유효성을 검증하기 위한 상세한 ablation study를 수행했습니다. 코드는 https://github.com/kaijiezhu11/MELON 에서 확인할 수 있습니다.
