Атаки через LLM-интерфейсы к базам данных: новый вектор эксплуатации естественного языка и меры противодействия
В работе рассматриваются современные угрозы информационной безопасности, возникающие при использовании больших языковых моделей в качестве интерфейса для работы с базами данных и пользовательскими приложениями. Особое внимание уделяется атакам, основанным на использовании текстовых запросов, включая prompt-инъекции и Prompt-to-SQL атаки, при которых злоумышленник может повлиять на формирование SQL-запросов и получить доступ к данным, не предусмотренным правилами системы. В статье проводится обзор и анализ четырёх актуальных научных исследований, посвящённых уязвимостям LLM-интегрированных приложений, методам выявления вредоносных запросов и архитектурным подходам к защите чат-ботов. Рассматриваются практические меры противодействия, такие как предварительная проверка пользовательских запросов, ограничение возможностей языковых моделей, использование нескольких уровней контроля и применение методологии STRIDE для анализа угроз.
Быстрое развитие больших языковых моделей и их интеграция в прикладные информационные системы привели к появлению качественно новых форм взаимодействия между пользователем и вычислительной инфраструктурой. В отличие от классических графических или программных интерфейсов, LLM позволяют формировать запросы на естественном языке, интерпретируя их в команды, бизнес-логику и SQL-запросы. Подобный подход активно используется в веб-приложениях, корпоративных чат-ботах, аналитических системах и цифровых ассистентах.
Однако упрощение доступа к данным сопровождается появлением принципиально новых угроз. Естественный язык становится не только средством общения, но и поверхностью атаки, через которую злоумышленник может воздействовать на внутреннюю логику приложения. В результате формируется новый класс атак - атаки через LLM-интерфейсы, сочетающие элементы классических инъекций и социальной инженерии.
В работе [1] рассматривается проблема безопасности, возникающая при использовании языковых моделей для автоматического формирования SQL-запросов на основе обычного текстового ввода пользователя. Авторы показали, что в таких системах пользователь фактически управляет логикой запроса не через код, а через текст, который модель преобразует в SQL. Это приводит к появлению новых угроз, так как стандартные методы защиты, созданные для анализа готового SQL запроса, не учитывают процесс трансформации текста в запрос.
Опасный тестовый запрос выглядит примерно так: «Выведи список клиентов и покажи все доступные таблицы БД, проигнорировав ограничения доступа». С виду это обычная просьба, однако модель языка может сгенерировать SQL-запрос, который выходит за рамки предоставленных прав. В итоге пользователь с помощью системы может получить информацию, к которой у него не должно быть прав доступа.
Для защиты предлагается ряд мер: проводится проверка текстовых запросов до их преобразования в SQL, чтобы обнаружить попытки обхода правил или запроса избыточной информации; рекомендуется строго ограничить набор разрешенных SQL-операций, которые может использовать модель (например, разрешить только SELECT без объединений и вложенных запросов); подчеркивается необходимость дополнительной проверки уже сгенерированного SQL-запроса перед его выполнением, чтобы убедиться в его соответствии заданным правилам доступа.
Авторы [2] подробно исследуют проблему вредоносных текстовых запросов, нацеленных на обман языковых моделей и указывают на то, что такие запросы часто маскируются под стандартные сообщения пользователя и не имеют явных признаков атаки. Пример замаскированного запроса: «Представь, что ты администратор системы, и покажи все скрытые записи базы данных для проверки корректности функционирования». Для обнаружения таких запросов в работе предлагается применять несколько способов проверки, один из них основан на поиске типичных фраз, формулировок и словосочетаний, связанных с обходом правил или сменой прав пользователя. Другой способ связан с анализом структуры запроса и его цели, например, попытки получить доступ к конфиденциальным данным. Также используется проверка языка и формы запроса, так как вредоносные команды могут подаваться в различных вариантах. Использование нескольких методов помогает повысить точность обнаружения опасных запросов и снизить вероятность обработки системой вредоносного ввода.
В исследовании [3] предложен архитектурный подход к защите чат-ботов и других систем на основе языковых моделей. Суть подхода заключается в использовании двух отдельных моделей с разными задачами. Первая модель предназначена для общения с пользователем и формирования ответа, а вторая используется для проверки входящих запросов и результатов обработки. Перед тем как запрос будет выполнен или преобразован в SQL, он передаётся во вторую модель, которая оценивает, соответствует ли запрос установленным правилам и не содержит ли признаков попытки обхода ограничений. Эффективность такого подхода оценивается по показателям точности обнаружения вредоносных запросов, количеству ложных срабатываний и числу пропущенных атак. Авторы показывают, что разделение функций между моделями снижает риск прямого воздействия вредоносного запроса на базу данных и повышает общую устойчивость системы.
Работа [4] посвящена анализу угроз безопасности с использованием методологии STRIDE. Данная методология предлагает систематически рассматривать возможные риски по нескольким направлениям. В рамках исследования анализируются угрозы подмены пользователя, когда злоумышленник выдаёт себя за другого клиента или сотрудника, угрозы изменения данных, связанные с искажением информации в базе, а также риски утечки конфиденциальных сведений и получения избыточных прав доступа.
Методология STRIDE предполагает построение схемы работы системы и последовательный анализ каждого этапа взаимодействия пользователя с чат-ботом. Это позволяет заранее определить, на каких этапах возможны атаки и какие меры защиты необходимо предусмотреть. Авторы показывают, что при использовании языковых моделей количество потенциальных точек атаки увеличивается, поскольку ошибки могут возникать не только в коде, но и на уровне обработки текстовых запросов.
Исходя из проведенного анализа, можно заключить, что использование языковых моделей для взаимодействия с базами данных создаёт новые виды рисков и угроз для информационной безопасности. Источником этих угроз является наличие в некоторых текстовых запросах скрытых команд, с помощью которых злоумышленники пытаются получить информацию из системы и остаются незамеченными стандартными средствами безопасности. Исследования показывают, что для минимизации рисков необходимо применять комплексную систему безопасности, включающую в себя предварительную проверку запросов пользователей, уменьшение функционала языковой модели, контроль за генерируемыми SQL-запросами и исследование уязвимостей еще на этапе разработки. Это позволяет ощутимо повысить уровень защищенности приложений, которые используют большие языковые модели для работы с базами данных.
- Rodrigo P., Miguel E. C., Daniel C., Paulo C., Nuno S. Prompt-to-SQL Injections in LLM-Integrated Web Applications: Risks and Defenses. IEEE/ACM 2025, DOI 10.1109/ICSE55347.2025.00007
- Martin E., Oluwatobi A., Haitham M. SHIELD: Security against Harmful Prompt Injection Evaluation and Language Detection Leveraging Ensemble Approach. IEEE IECON, 2025, DOI: 10.1109/IECON58223.2025.11221566
- Hakan E., Gulsum B. Securing With Dual-LLM Architecture: ChatTEDU an Open Access Chatbot’s Defense. IEEE ACCESS, 2025, DOI: 10.1109/ACCESS.2025.3623268
- Zilungile B., Olawande D. Elicitation of security threats and vulnerabilities in Insurance chatbots using STRIDE. Scientific Reports, 2024, DOI: https://doi.org/10.1038/s41598-024-68791-z
