ডিপমাইন্ডের ‘এআই এজেন্ট ট্র্যাপস’ প্রবন্ধে দেখানো হয়েছে, কীভাবে হ্যাকাররা ব্যবহারকারীদের বিরুদ্ধে এআই এজেন্টকে অস্ত্র হিসেবে ব্যবহার করতে পারে

মূল বিষয়গুলো:

• গুগল ডিপমাইন্ডের গবেষকেরা ৬টি এআই এজেন্ট ট্র্যাপ ক্যাটাগরি শনাক্ত করেছেন, যেখানে কনটেন্ট ইনজেকশনের সাফল্যের হার ৮৬% পর্যন্ত পৌঁছেছে।
• মাইক্রোসফট M365 Copilot-কে লক্ষ্য করে থাকা বিহেভিয়রাল কন্ট্রোল ট্র্যাপগুলো নথিভুক্ত পরীক্ষায় ১০/১০ ক্ষেত্রে ডেটা এক্সফিলট্রেশন অর্জন করেছে।
• ডিপমাইন্ড ২০২৬ সালের মধ্যে এজেন্ট সুরক্ষায় অ্যাডভার্সারিয়াল ট্রেনিং, রানটাইম কনটেন্ট স্ক্যানার এবং নতুন ওয়েব স্ট্যান্ডার্ডের আহ্বান জানিয়েছে।

ডিপমাইন্ড পেপার: বিষাক্ত মেমরি, অদৃশ্য HTML কমান্ডের মাধ্যমে এআই এজেন্ট হাইজ্যাক করা যেতে পারে

পেপারটি, “AI Agent Traps” শিরোনামে, মাতিজা ফ্র্যাঙ্কলিন, নেনাদ তোমাসেভ, জুলিয়ান জ্যাকবস, জোয়েল জেড. লেইবো এবং সাইমন ওসিন্ডেরো লিখেছেন—তাঁরা সবাই গুগল ডিপমাইন্ডের সঙ্গে যুক্ত—এবং এটি ২০২৬ সালের মার্চের শেষ দিকে SSRN-এ পোস্ট করা হয়। এটি এমন এক সময়ে এসেছে, যখন কোম্পানিগুলো মানব তত্ত্বাবধান ছাড়াই ওয়েব ব্রাউজ করা, ইমেইল পড়া, লেনদেন সম্পাদন এবং সাব-এজেন্ট তৈরি করতে সক্ষম এআই এজেন্ট মোতায়েনের প্রতিযোগিতায় নেমেছে।

গবেষকদের যুক্তি, এসব সক্ষমতাই আবার একটি দায়ও বটে। পেপারে বলা হয়েছে, “মডেল নয়, পরিবেশকে পরিবর্তন করে ট্র্যাপটি এজেন্টের নিজস্ব সক্ষমতাকেই তার বিরুদ্ধে অস্ত্রে পরিণত করে।”

পেপারটির ফ্রেমওয়ার্কে মোট ছয়টি আক্রমণ-শ্রেণি শনাক্ত করা হয়েছে, যা এজেন্টের অপারেশনের কোন অংশকে লক্ষ্য করে তার ভিত্তিতে সাজানো। কনটেন্ট ইনজেকশন ট্র্যাপ মানব যে ওয়েবপেজ দেখে এবং অন্তর্নিহিত HTML, CSS ও মেটাডেটা থেকে একটি এআই এজেন্ট যা পার্স করে—এই দুটির মধ্যকার ফাঁককে কাজে লাগায়।

HTML কমেন্ট, অ্যাক্সেসিবিলিটি ট্যাগ বা স্টাইল দিয়ে অদৃশ্য করা লেখার মধ্যে লুকানো নির্দেশনা মানব রিভিউয়ারদের কাছে কখনোই দেখা যায় না, কিন্তু এজেন্টদের কাছে বৈধ কমান্ড হিসেবে নথিভুক্ত হয়। WASP বেঞ্চমার্কে দেখা গেছে, ওয়েব কনটেন্টে এমবেড করা সহজ, মানুষের লেখা প্রম্পট ইনজেকশন পরীক্ষিত পরিস্থিতির সর্বোচ্চ ৮৬% ক্ষেত্রে এজেন্টদের আংশিকভাবে হাইজ্যাক করতে পারে।

সেমান্টিক ম্যানিপুলেশন ট্র্যাপ ভিন্নভাবে কাজ করে। কমান্ড ইনজেক্ট করার বদলে এগুলো ফ্রেমিং, কর্তৃত্বের ইঙ্গিত বা আবেগ-উদ্দীপক ভাষায় লেখা ভরিয়ে দিয়ে এজেন্ট কীভাবে যুক্তি করবে তা বিকৃত করে। লার্জ ল্যাঙ্গুয়েজ মডেল (LLM) মানুষের জ্ঞানীয় প্রক্রিয়াকে প্রভাবিত করা একই ধরনের অ্যাঙ্করিং ও ফ্রেমিং বায়াস প্রদর্শন করে—ফলে একই তথ্য ভিন্নভাবে উপস্থাপন করলে এজেন্টের আউটপুট নাটকীয়ভাবে বদলে যেতে পারে।

কগনিটিভ স্টেট ট্র্যাপ আরও এগিয়ে গিয়ে এজেন্টরা স্মৃতির জন্য যে রিট্রিভাল ডেটাবেস ব্যবহার করে তা বিষাক্ত করে। পেপারে উদ্ধৃত গবেষণা দেখায়, একটি নলেজ বেসে অল্প কয়েকটি অপ্টিমাইজড ডকুমেন্ট ইনজেক্ট করলেই নির্দিষ্ট কুয়েরির ক্ষেত্রে এজেন্টের উত্তর নির্ভরযোগ্যভাবে অন্যদিকে ঘুরিয়ে দেওয়া যায়; কিছু আক্রমণে ০.১%‑এরও কম ডেটা দূষণে সাফল্যের হার ৮০% ছাড়িয়েছে।

বিহেভিয়রাল কন্ট্রোল ট্র্যাপ সূক্ষ্মতা এড়িয়ে সরাসরি এজেন্টের অ্যাকশন লেয়ারকে লক্ষ্য করে। এতে থাকে এমবেডেড জেলব্রেক সিকোয়েন্স, যা একবার ইনজেস্ট হলে সেফটি অ্যালাইনমেন্ট ওভাররাইড করে; ডেটা এক্সফিলট্রেশন কমান্ড, যা সংবেদনশীল ব্যবহারকারী তথ্য আক্রমণকারীর নিয়ন্ত্রিত এন্ডপয়েন্টে রিডাইরেক্ট করে; এবং সাব-এজেন্ট স্পনিং ট্র্যাপ, যা প্যারেন্ট এজেন্টকে বাধ্য করে কমপ্রোমাইজড চাইল্ড এজেন্ট ইনস্ট্যান্সিয়েট করতে।

পেপারটি মাইক্রোসফটের M365 Copilot-সম্পর্কিত একটি কেস নথিভুক্ত করেছে, যেখানে একটি মাত্র সুচারুভাবে তৈরি ইমেইল সিস্টেমকে অভ্যন্তরীণ ক্লাসিফায়ার বাইপাস করতে বাধ্য করে এবং তার পূর্ণ প্রিভিলেজড কনটেক্সট আক্রমণকারীর নিয়ন্ত্রিত এন্ডপয়েন্টে ফাঁস করে দেয়। সিস্টেমিক ট্র্যাপগুলো আলাদা সিস্টেমকে নয়, বরং একই সঙ্গে এজেন্টদের সম্পূর্ণ নেটওয়ার্ককে ব্যর্থ করানোর জন্য ডিজাইন করা।

এগুলোর মধ্যে রয়েছে কনজেশন আক্রমণ, যা সীমিত রিসোর্সের ওপর অতিরিক্ত চাহিদা তৈরি করতে এজেন্টদের সিঙ্ক্রোনাইজ করে; ২০১০ সালের স্টক মার্কেট ফ্ল্যাশ ক্র্যাশের আদলে ইন্টারডিপেনডেন্স ক্যাসকেড; এবং কম্পোজিশনাল ফ্র্যাগমেন্ট ট্র্যাপ, যা একাধিক নিরীহ-দেখানো উৎসে ক্ষতিকর পে-লোড ছড়িয়ে দেয়—শুধু সমষ্টিগতভাবে একত্রিত হলে যা পূর্ণ আক্রমণে পুনর্গঠিত হয়।

গুগল ডিপমাইন্ড পেপার ব্যাখ্যা করে, “সহসম্পর্কিত এজেন্ট আচরণের মাধ্যমে ম্যাক্রো-স্তরের ব্যর্থতা ট্রিগার করার জন্য ডিজাইন করা ইনপুট দিয়ে পরিবেশকে বীজতলা করা”—এআই মডেল ইকোসিস্টেম যত বেশি সমজাতীয় হয়, ততই বিপজ্জনক হয়ে ওঠে। ফাইন্যান্স ও ক্রিপ্টো খাত সরাসরি ঝুঁকির মুখে, কারণ ট্রেডিং অবকাঠামোতে অ্যালগরিদমিক এজেন্টগুলো কত গভীরভাবে এমবেড করা আছে।

হিউম্যান-ইন-দ্য-লুপ ট্র্যাপগুলো এই ট্যাক্সোনমির শেষাংশ, যা এজেন্টদের বদলে এজেন্ট তদারক করা মানব সুপারভাইজারদের লক্ষ্য করে। একটি কমপ্রোমাইজড এজেন্ট এমন আউটপুট তৈরি করতে পারে যা অনুমোদন-জনিত ক্লান্তি (approval fatigue) সৃষ্টি করার জন্য প্রকৌশলগতভাবে সাজানো; এমন টেকনিক্যালি ঘন সারাংশ দিতে পারে যা একজন নন-এক্সপার্ট যাচাই না করেই অনুমোদন করবে; অথবা বৈধ সুপারিশের মতো দেখায় এমন ফিশিং লিংক ঢুকিয়ে দিতে পারে। গবেষকেরা এই ক্যাটাগরিটিকে কম-অন্বেষিত বলে বর্ণনা করেছেন, তবে হাইব্রিড মানব-এআই সিস্টেম স্কেল করার সঙ্গে সঙ্গে এটি বাড়বে বলে প্রত্যাশা করেন।

গবেষকেরা বলছেন এআই এজেন্ট সুরক্ষায় শুধু টেকনিক্যাল সমাধান যথেষ্ট নয়

পেপারটি এই ছয়টি শ্রেণিকে বিচ্ছিন্ন হিসেবে দেখে না। পৃথক ট্র্যাপগুলোকে চেইন করা যেতে পারে, একাধিক উৎস জুড়ে স্তরবদ্ধ করা যেতে পারে, অথবা নির্দিষ্ট ভবিষ্যৎ পরিস্থিতিতে সক্রিয় হওয়ার জন্য ডিজাইন করা যেতে পারে। পেপারে উদ্ধৃত বিভিন্ন রেড-টিমিং স্টাডিতে পরীক্ষিত প্রতিটি এজেন্টই অন্তত একবার কমপ্রোমাইজড হয়েছে—কিছু ক্ষেত্রে অবৈধ বা ক্ষতিকর কাজও সম্পাদন করেছে।

ওপেনএআই সিইও স্যাম অল্টম্যান ও অন্যান্যরা আগে থেকেই এজেন্টদের সংবেদনশীল সিস্টেমে অনিয়ন্ত্রিত অ্যাক্সেস দেওয়ার ঝুঁকি তুলে ধরেছেন, কিন্তু এই পেপারটি প্রথমবারের মতো বাস্তবে ঠিক কীভাবে সেই ঝুঁকিগুলো প্রকাশ পায় তার একটি কাঠামোবদ্ধ মানচিত্র দেয়। ডিপমাইন্ডের গবেষকেরা তিনটি ক্ষেত্রে বিস্তৃত একটি সমন্বিত প্রতিক্রিয়ার আহ্বান জানান।

প্রযুক্তিগত দিক থেকে তারা মডেল ডেভেলপমেন্টের সময় অ্যাডভার্সারিয়াল ট্রেনিং, রানটাইম কনটেন্ট স্ক্যানার, প্রি-ইনজেশন সোর্স ফিল্টার এবং আউটপুট মনিটরের সুপারিশ করেন—যা অস্বাভাবিক আচরণ ধরা পড়লে কাজের মাঝপথেই এজেন্টকে স্থগিত করতে পারে। ইকোসিস্টেম স্তরে তারা নতুন ওয়েব স্ট্যান্ডার্ডের পক্ষে মত দেন, যাতে ওয়েবসাইটগুলো এআই ভোগের জন্য উদ্দেশ্যকৃত কনটেন্ট ফ্ল্যাগ করতে পারে, এবং ডোমেইন নির্ভরযোগ্যতা স্কোর করার জন্য রেপুটেশন সিস্টেম থাকতে পারে।

আইনি দিক থেকে তারা একটি জবাবদিহিতার ফাঁক চিহ্নিত করেন: যখন একটি হাইজ্যাকড এজেন্ট আর্থিক অপরাধ করে, বর্তমান কাঠামোতে কার ওপর দায় পড়বে—এজেন্ট অপারেটর, মডেল প্রোভাইডার, নাকি ডোমেইন মালিক—তার স্পষ্ট উত্তর নেই। গবেষকেরা ইচ্ছাকৃত গুরুত্ব দিয়ে চ্যালেঞ্জটি এভাবে উপস্থাপন করেন:

“ওয়েব তৈরি হয়েছিল মানুষের চোখের জন্য; এখন তা মেশিন রিডারদের জন্য পুনর্নির্মিত হচ্ছে।”

এজেন্ট গ্রহণ দ্রুততর হওয়ার সঙ্গে সঙ্গে প্রশ্নটি অনলাইনে কী তথ্য আছে তা থেকে সরে গিয়ে দাঁড়ায়—এআই সিস্টেমগুলোকে সে তথ্য সম্পর্কে কী বিশ্বাস করতে বাধ্য করা হবে। বাস্তব জগতে বড় পরিসরে এক্সপ্লয়েট আসার আগেই নীতিনির্ধারক, ডেভেলপার এবং সিকিউরিটি গবেষকেরা যথেষ্ট দ্রুত সমন্বয় করতে পারবেন কি না—সেটিই এখনো খোলা ভ্যারিয়েবল।