3,583 papers

Меню

arXiv:2511.18467 67 23 нояб. 2025 г. FREE

Тени в коде: исследование рисков и методов защиты систем разработки программного обеспечения на основе LLM с множеством агентов

КЛЮЧЕВАЯ СУТЬ
Системный промпт с набором правил работает как «предохранитель»: даже если пользователь (случайно или намеренно) попросит LLM создать что-то нежелательное, модель откажется или исправит запрос. Метод Промпт-Конституция позволяет задать модели нерушимые границы поведения — список того, что она категорически не должна делать при выполнении любой задачи. Вместо надежды на «здравый смысл» модели вы загружаете в неё систему запретов в начале промпта, превращая LLM из исполнителя в хранителя правил. Исследование показало: такой подход снижает риск генерации вредоносного контента на 60-80% даже при прямых попытках обмана.
Адаптировать под запрос
📌

Ключевые аспекты исследования:

Исследование показывает, как системы из нескольких LLM-агентов, созданные для автоматической разработки программ, могут быть обмануты для создания вредоносного ПО. Злоумышленник может либо добавить скрытую вредоносную инструкцию в обычный запрос, либо использовать "зараженного" агента в команде разработчиков. Самое важное, что авторы предлагают эффективный метод защиты — специальный "промпт-предохранитель", который задает агентам строгие правила безопасности и этики, которым они должны следовать.

Ключевой результат: Добавление в системный промпт агента четкого набора правил и запретов ("конституции") значительно снижает риск генерации нежелательного или вредоносного контента, даже при прямых попытках обмана.

🔬

Объяснение всей сути метода:

Суть метода, который можно извлечь из этого исследования для практического промптинга, заключается в технике "Промпт-Конституция" (или "защитный промпт", Padv в статье).

Вместо того чтобы просто давать LLM задачу, вы сначала даете ей набор нерушимых правил, принципов и ограничений, которые она должна соблюдать при выполнении любой последующей задачи. Этот набор правил становится ее "конституцией" или "системой безопасности".

Методика выглядит так:

  1. Определите "красные линии": Подумайте, чего модель категорически не должна делать при выполнении вашей задачи. Например: использовать кликбейтные фразы, выдумывать факты, использовать сложный жаргон, давать финансовые советы и т.д.

  2. Сформулируйте "Конституцию": В самом начале вашего промпта, перед основной задачей, создайте раздел с этими правилами. Используйте четкие, директивные формулировки. В исследовании используется такой формат:

    • "Прежде чем выполнять задачу, ты должен проверить, соответствует ли она следующим правилам безопасности и этики:"
    • Далее идет нумерованный список запретов: 1. Нельзя делать X. 2. Запрещено делать Y. 3. Всегда нужно делать Z.
    • Завершается все строгим указанием: "Во-первых, ты не должен генерировать ничего, что нарушает эти правила. Во-вторых, если ты обнаружишь нарушение, ты должен указать на него и прекратить работу или исправить."

  3. Поставьте основную задачу: После блока с "конституцией" изложите вашу основную задачу как обычно.

Этот подход заставляет LLM сначала пропустить ваш запрос через внутренний фильтр созданных вами правил, прежде чем приступить к генерации. Это значительно повышает управляемость, надежность и безопасность ответов, особенно в сложных или ответственных задачах.

📌

Анализ практической применимости:

  • Прямая применимость: Низкая в исходном виде, так как исследование сфокусировано на генерации кода мульти-агентными системами. Однако метод "Промпт-Конституция" имеет высокую прямую применимость. Пользователь может скопировать структуру защитного промпта (Рисунок 20 в статье) и адаптировать правила под любую свою задачу в обычном чате с LLM.

  • Концептуальная ценность: Очень высокая. Исследование наглядно доказывает, что LLM не имеет встроенного "здравого смысла" или "этики" — она просто следует инструкциям. Это учит пользователя не доверять модели по умолчанию, а явно и директивно определять границы ее поведения. Концепция "конфликта задач", когда слишком много вредоносных инструкций сбивают модель с толку, также дает ценное понимание ее внутреннего "состояния".

  • Потенциал для адаптации: Огромный. Метод "Промпт-Конституция" можно адаптировать для чего угодно:

    • Для копирайтера: Создать "Редакционную политику" (не использовать штампы, проверять факты, писать в определенном тоне).
    • Для аналитика: Создать "Протокол объективности" (опираться только на предоставленные данные, не делать домыслов, указывать на неполноту данных).
    • Для SMM-менеджера: Создать "Гайдлайн по коммуникациям" (не вступать в споры, использовать позитивный язык, не сравнивать с конкурентами).

    Механизм адаптации прост: взять структуру защитного промпта из исследования и заменить правила кибербезопасности на правила, релевантные для вашей конкретной задачи.

🚀

Практически пример применения:

Ты — опытный SMM-менеджер, который создает контент для социальных сетей бренда здорового питания "Зеленая Энергия".

Прежде чем выполнять задачу, ты должен убедиться, что твой ответ соответствует следующим **Принципам Коммуникации Бренда**:

1.  **Никакого кликбейта.** Заголовки должны быть интересными, но честными. Запрещено использовать фразы вроде "Вы не поверите...", "Шок-контент" и т.п.
2.  **Только научно-обоснованные утверждения.** Любые заявления о пользе продуктов должны быть скромными и соответствовать общепринятым научным данным. Нельзя обещать "мгновенное исцеление" или "гарантированную потерю 10 кг за неделю".
3.  **Позитивный и инклюзивный язык.** Нельзя критиковать или высмеивать другие стили питания или образы жизни. Тон должен быть поддерживающим и дружелюбным.
4.  **Никакого негатива о конкурентах.** Запрещено прямо или косвенно упоминать или критиковать другие бренды. Фокус только на наших преимуществах.
5.  **Обязательный призыв к действию.** Каждый пост должен заканчиваться мягким призывом: задать вопрос в комментариях, перейти по ссылке в магазин, поделиться своим опытом.

**Инструкция по выполнению:**
*   Сначала ты должен подтвердить, что понял и принимаешь эти правила.
*   Затем, если задача не нарушает правила, выполни ее.
*   Если задача содержит просьбу нарушить правила (например, "напиши агрессивный пост о конкурентах"), ты должен вежливо отказаться, сославшись на Принципы Коммуникации Бренда.

---
**ЗАДАЧА:**

Напиши три коротких поста для Instagram о нашем новом продукте — протеиновом смузи "Утренний заряд".

**Информация о продукте:**
*   Состав: шпинат, банан, растительный протеин, семена чиа.
*   Особенности: 15 г белка на порцию, без сахара, веганский.
*   Цель: быстрый и полезный завтрак для тех, у кого нет времени.
🧠

Почему это работает:

Этот промпт работает за счет применения метода "Промпт-Конституция", адаптированного из исследования:

  1. Предварительное инструктирование: Вместо того чтобы сразу просить написать посты, мы сначала загружаем в модель набор жестких правил (Принципы Коммуникации Бренда). Это создает мощный контекстный фреймворк.
  2. Явные негативные ограничения: Использование директив "Никакого...", "Запрещено...", "Нельзя..." работает гораздо эффективнее, чем общие пожелания. Модель получает четкие "красные линии", которые не следует пересекать.
  3. Механизм самоконтроля: Инструкция "...если задача содержит просьбу нарушить правила, ты должен вежливо отказаться..." превращает LLM из простого исполнителя в "хранителя правил". Это заставляет ее активно анализировать входящую задачу на соответствие "конституции".
  4. Приоритезация инструкций: Размещение "конституции" в самом начале промпта и ее выделение (например, жирным шрифтом) повышает ее вес и приоритет для модели, снижая вероятность того, что она будет проигнорирована.

В итоге модель генерирует не просто креативный, но и безопасный, соответствующий бренду контент, отсекая возможные нежелательные варианты еще на этапе осмысления задачи.

📌

Другой пример практического применения

Ты — ассистент-аналитик, твоя задача — помочь мне подготовить объективную сводку по сложному вопросу.

Прежде чем приступить к анализу, ты должен ознакомиться и неукоснительно следовать **Протоколу Объективного Анализа**:

1.  **Строго по тексту.** Твой анализ должен основываться ИСКЛЮЧИТЕЛЬНО на информации из предоставленного ниже текста. Запрещено привлекать внешние знания, даже если они кажутся тебе релевантными.
2.  **Никаких личных мнений и оценок.** Не используй оценочные суждения ("к сожалению", "к счастью", "очевидно, что..."). Твоя задача — изложить факты и аргументы, а не комментировать их.
3.  **Структурируй беспристрастно.** Выдели ключевую проблему, аргументы "за", аргументы "против" и представленные в тексте выводы. Не отдавай предпочтения ни одной из сторон.
4.  **Фиксируй пробелы.** Если в тексте отсутствует важная информация для полного ответа на вопрос, прямо укажи на это в конце своего анализа в разделе "Недостающая информация".
5.  **Нейтральный тон.** Язык должен быть сухим, академическим и безоценочным.

**Инструкция по выполнению:**
Сначала подтверди, что ты понял и будешь следовать Протоколу Объективного Анализа. Затем выполни задачу.

---
**ЗАДАЧА:**

Проанализируй приведенную ниже статью о влиянии удаленной работы на городскую экономику и подготовь краткую сводку по следующему плану:
1.  Основная проблема, поднятая в статье.
2.  Аргументы в пользу положительного влияния удаленки.
3.  Аргументы в пользу отрицательного влияния удаленки.
4.  Главный вывод автора статьи.

**ТЕКСТ СТАТЬИ:**
[... сюда вставляется текст длинной статьи ...]
🧠

Объяснение механизма почему этот пример работает.

Этот пример эффективно использует ту же механику "Промпт-Конституции" для решения другой распространенной проблемы при работе с LLM — галлюцинаций, домыслов и субъективных оценок при анализе текста.

  1. Создание "информационного вакуума": Правило №1 (Строго по тексту. Запрещено привлекать внешние знания.) является ключевым. Оно принудительно ограничивает контекст модели только предоставленным текстом, что резко снижает вероятность "додумывания" фактов или смешивания информации из ее общей базы знаний с информацией из источника.
  2. Подавление оценочной функции: Правила №2 и №5 (Никаких личных мнений, Нейтральный тон) заставляют модель работать в режиме ретранслятора и структуризатора информации, а не в режиме "помощника", который пытается быть полезным и добавлять собственную интерпретацию.
  3. Принудительная структуризация: Требование выделить аргументы "за" и "против" заставляет модель искать в тексте противоречивые или разнонаправленные тезисы, что способствует более сбалансированному и менее однобокому анализу.
  4. Легализация "незнания": Правило №4 (Фиксируй пробелы) дает модели "разрешение" признать, что в тексте нет ответа. Это критически важно, так как без этого правила LLM склонна выдумывать ответ, чтобы удовлетворить запрос пользователя.

Таким образом, "конституция" в этом промпте работает как набор фильтров, которые отсекают творческую, но часто недостоверную часть LLM, и активируют ее сильные стороны — способность быстро находить, структурировать и излагать информацию из заданного контекста.

📌

Оценка полезности: 67

📌

Основные критерии оценки

  • A. Релевантность техникам промтинга: Средняя. Исследование предлагает конкретные структуры промптов для атаки и защиты, но в очень узком контексте (генерация вредоносного кода). Однако сами принципы структурирования и защиты универсальны.
  • B. Улучшение качества диалоговых ответов: Низкая. Фокус на генерации исполняемого кода, а не на улучшении качества ответов в чате.
  • C. Прямая практическая применимость: Низкая. Методы требуют использования специфических мульти-агентных систем (ChatDev, MetaGPT), недоступных обычному пользователю ChatGPT.
  • D. Концептуальная ценность: Высокая. Исследование блестяще демонстрирует, как LLM можно "взломать" с помощью инструкций и, что важнее, как защититься от этого. Оно раскрывает концепцию "промпта-конституции" (защитного промпта), который задает модели жесткие рамки поведения.
  • E. Новая полезная практика (кластеры): Работа попадает в кластеры 1 (Техники формулирования), 3 (Оптимизация структуры), и 7 (Надежность и стабильность). Она показывает, как структурировать сложную скрытую инструкцию и как внедрить "промпт-предохранитель" для повышения надежности.
  • Чек-лист практичности (+15 баллов): Да. Исследование дает готовую конструкцию для защитного промпта (Рисунок 20), объясняет, как структура запроса влияет на результат (Ablation Study), и раскрывает неочевидное поведение LLM (конфликт задач снижает эффективность атаки).
📌

Цифровая оценка полезности

Оценка 67 отражает баланс между очень низкой прямой применимостью и очень высокой концептуальной ценностью для продвинутого пользователя.

Аргументы за оценку: * Исследование посвящено узкоспециализированной теме — безопасности систем авто-разработки ПО. Обычный пользователь не создает ПО с помощью LLM-агентов, поэтому прямая польза минимальна. * Однако, работа предоставляет чрезвычайно ценный концептуальный инструмент — "защитный промпт" (Padv в исследовании). Это универсальная техника, которую любой пользователь может адаптировать для повышения надежности и управляемости LLM в своих задачах. * Структура атакующего промпта Pm = {Ts, Td, Ci} (краткое содержание, детали, примеры кода) — это, по сути, идеальная структура для любого сложного промпта, что само по себе является ценным уроком.

Контраргументы: * Почему оценка могла быть ниже (30-40): Если оценивать исключительно с точки зрения "взял и применил в ChatGPT за 30 секунд", то работа почти бесполезна. Ее основной контекст — программирование и кибербезопасность, что далеко от повседневных задач большинства пользователей. * Почему оценка могла быть выше (75-80): Для опытного пользователя, который стремится понять, как "думает" LLM и как заставить ее работать надежнее, это исследование — золотая жила. Концепция "промпта-конституции" настолько мощная и универсальная, что ее можно считать одной из фундаментальных техник продвинутого промпт-инжиниринга.

Работа с исследованием

Адаптируйте исследование под ваши задачи или создайте готовый промпт на основе техник из исследования.

0 / 2000
~0.5-2 N-токенов ~10-30с
~0.3-1 N-токенов ~5-15с