Google গবেষকদের সতর্কবার্তা: ওপেন ওয়েব AI agents-এর জন্য prompt-injection আক্রমণের নতুন ক্ষেত্র হয়ে উঠছে

Enterprise AI agents সম্ভবত ওয়েবের সবচেয়ে পুরোনো trust problem-টিই উত্তরাধিকার সূত্রে পাচ্ছে

Google গবেষকেরা সতর্ক করছেন যে দুরভিসন্ধিমূলক পাবলিক ওয়েব পেজগুলো indirect prompt injection-এর মাধ্যমে enterprise AI agents-কে সক্রিয়ভাবে বিষাক্ত করছে, যা দেওয়া candidate metadata এবং excerpt-এ বলা হয়েছে। এই সতর্কবার্তা agentic AI নিয়ে মাসের পর মাস ধরে চলা একটি আশঙ্কাকে আরও তীক্ষ্ণ করে: সিস্টেমগুলোকে যখন বহিরাগত উৎস পড়া, সারসংক্ষেপ করা, এবং সেগুলোর ওপর কাজ করার বেশি autonomy দেওয়া হয়, তখন তারা open web-এর adversarial স্বভাবও উত্তরাধিকার সূত্রে পায়।

এখানে বর্ণিত হুমকিটি প্রচলিত অর্থে conventional software exploit নয়। এটি model behavior-এর কারসাজি। একটি hostile page এমন instructions বা content embed করতে পারে যা সেই page-এ যাওয়া, index করা বা summarize করা AI agent-কে প্রভাবিত করবে। যদি সেই agent enterprise tools বা workflows-এর সঙ্গে যুক্ত থাকে, তাহলে ঝুঁকি শুধু ভুল output-এ সীমাবদ্ধ থাকে না। তা decisions, retrieval chains, এবং downstream operational actions-এও ছড়িয়ে পড়তে পারে।

Indirect prompt injection কাঠামোগতভাবে কেন কঠিন

এই সতর্কবার্তা অনেক বর্তমান AI product-এর পেছনের একটি design assumption-কে লক্ষ্য করে: developers model-এর চারপাশে যথেষ্ট guardrails বসালে agents নিরাপদে বিস্তৃত documents-এর ওপর কাজ করতে পারবে। Indirect prompt injection attacks input layer-টিকেই দূষিত করে এই assumption-কে চ্যালেঞ্জ করে। সমস্যা শুধু user model-কে কী জিজ্ঞাসা করছে তা নয়। সমস্যা হলো surrounding environment user না জেনেই model-কে কী বলছে।

দেওয়া excerpt-এ বলা হয়েছে Common Crawl repository scan করা security teams এই ঝুঁকির সঙ্গে সম্পর্কিত প্রমাণ পেয়েছে। এই তথ্যটি গুরুত্বপূর্ণ, কারণ Common Crawl বিশাল এবং web-scale data work-এ ব্যাপকভাবে ব্যবহৃত হয়। যদি prompt-injection patterns ইতিমধ্যেই সেখানে দেখা যায়, তাহলে সমস্যা তাত্ত্বিক নয়। এটি ইঙ্গিত দেয় যে hostile content সেই একই public information environment-এ seed করা যেতে পারে যার ওপর AI systems retrieval, summarization, বা browsing-এর জন্য ক্রমশ নির্ভর করছে।

Agents ঝুঁকি কেন বাড়ায়

Chatbots hallucinate করতে পারে বা instructions ভুল পড়তে পারে, কিন্তু agents অনেক বেশি consequential surface area তৈরি করে কারণ তারা কাজ করার জন্যই বানানো। তারা pages fetch করে, systems-এর সঙ্গে connect করে, actions draft করে, এবং কখনও কখনও workflows trigger করে। এর মানে, একটি poisoned page-কে বিপজ্জনক হতে traditional অর্থে software “hack” করতে হয় না। model-এর reasoning সামান্য ঘুরিয়ে পরের কী হবে তা বদলে দিলেই যথেষ্ট।

Enterprises-এর জন্য এটি একটি নতুন security boundary প্রশ্ন তৈরি করে। ওয়েবে সবসময় spam, scams, malicious scripts, deceptive content ছিল। মানব কর্মীরা training, browser defenses, institutional controls-এর কিছু মিশ্রণে সেই পরিবেশ সামলায়। AI agents-এর এখনো সেই সমতুল্য judgment নেই, এবং তারা hostile content machine speed ও machine scale-এ প্রক্রিয়াকরণ করতে পারে। সেই অসমতা পরিচিত internet problem-টিকে AI যুগের একটি স্বতন্ত্র সমস্যায় রূপ দেয়।

AI deployment-এর জন্য বড় শিক্ষা

Google-এর সতর্কবার্তাকে কেবল research footnote নয়, বরং product architecture issue হিসেবে পড়া উচিত। যে কোনো system যা AI agent-কে public pages browse বা ingest করতে দেয়, তাকে ধরে নিতে হবে ওই পৃষ্ঠাগুলোতে adversarial instructions থাকতে পারে। নিরাপদ default trust নয়। নিরাপদ default হলো suspicion, isolation, এবং agent output sensitive systems-কে প্রভাবিত করতে দেওয়ার আগে layered validation।

দেওয়া material-এ Google-এর পূর্ণ mitigation guidance নেই, তাই এখানে থাকা প্রমাণ দিকনির্দেশক, পূর্ণাঙ্গ নয়। কিন্তু দিকটা পরিষ্কার। Enterprise AI agents সেই বাস্তবতার সঙ্গে ধাক্কা খাচ্ছে যে language models text interpret করে, আর web-এ attackers-লেখা text থাকে। যত বেশি কোম্পানি agents operationalize করতে ছুটছে, সবচেয়ে গুরুত্বপূর্ণ security question হয়তো আর model কী করতে পারে তা নয়, বরং model-কে কী করতে ফাঁদে ফেলা যায় সেটাই।

এই নিবন্ধটি AI News-এর প্রতিবেদনের ভিত্তিতে লেখা। মূল নিবন্ধটি পড়ুন.