بحث KENSAI: كشف خلفية RAG هو فشل معماري، وليس حادثة Prompt
أنظمة RAG لا تتسرّب لأن prompt واحد تصرّف بغرابة مرة واحدة. هي تتسرّب لأن الفرق تكشف تمديدات الخلفية وآثار التصحيح وبقايا المحادثات لطبقة العميل ثم تسمي ذلك تفصيلاً تنفيذياً.
لماذا تهم هذه الإشارة اليوم
تدقيق حديث لروبوت محادثة طبي يعتمد على RAG مهم لأنه أظهر أن الأسطح العادية المرئية للعميل يمكن أن تسرّب الـ prompts وتفاصيل الإعداد والـ schemas والبيانات الوصفية وحتى تاريخ المحادثات القريب. لم يحتج الأمر إلى jailbreak استعراضي. الفضول مع فحص المتصفح كان كافياً.
ما الذي انكسر فعلاً
الفشل الأهم لم يكن فقط في مخرجات النموذج. المنتج كشف آثار الخلفية عبر مسارات يمكن للعميل فحصها، فحوّل تفاصيل التشغيل الخاصة إلى تلميحات عامة. بعد ذلك يستطيع المهاجم أن يفهم كيف يسترجع النظام السياق الحساس ويُوجّهه ويخزّنه.
لماذا هذا خلل معماري
إذا كانت الـ prompts وقواعد التوجيه وبيانات الاسترجاع الوصفية وآثار الجلسات الحديثة قريبة جداً من الواجهة الأمامية، فسيرى المستخدم أكثر مما يفترض أن تكشفه الواجهة. هذه ليست مشكلة صياغة. إنها مشكلة حدود حالة. الـ plumbing الرخوة تخلق فرصاً لاحقة لـ prompt injection والتوجيه والاستخراج.
ماذا يجب أن تفعل الفرق الآن
قلّل البيانات الوصفية المرئية للعميل، وافصل أسطح التصحيح عن مسار تسليم المستخدم، واجعل الآثار المؤقتة تنتهي بسرعة، وافحص الـ payloads المرئية في المتصفح كما لو أنها إفصاحات عدائية. أي حقل لا يحتاجه المستخدم لتنفيذ الفعل لا يجب أن يسافر لمجرد الراحة.
خلاصة KENSAI
خصوصية الوكلاء تُكسب في الواجهات والرؤوس والـ payloads وحدود الحالة. إذا كان المتصفح يرى أكثر مما يحتاجه المستخدم، فالنظام بالفعل رخْو أكثر من اللازم. RAG الآمن ممل بالطريقة الصحيحة: تعرّض أقل، وصلات أشد، ومفاجآت أقل.
- تعامل مع الـ payloads المرئية في المتصفح كسطح إفصاح، لا كسطح عرض فقط.
- أبعد الـ prompts والـ schemas وبيانات الاسترجاع/التصحيح عن العميل إلا عند الضرورة القصوى.
- اجعل آثار الجلسات تنتهي بقوة واختبر الواجهة كما يفعل مهاجم يملك devtools.
انظر إلى العميل كعدسة خصومية
يصبح KENSAI أقوى عندما تُصمَّم خصوصية الوكلاء داخل الـ plumbing بدلاً من تركها لأمل الـ prompts.
KENSAIKENSAI, AI-Powered Security Intelligence