2026arXiv (preprint)
Narek Maloyan e Dmitry Namiot
Levantamento sistemático de ataques de injeção de prompt contra assistentes de codificação com IA (Claude Code, Cursor e similares). A partir de 78 estudos, propõe uma taxonomia por vetor de entrega, modalidade e comportamento de propagação, e reporta que ataques adaptativos superam 85% de sucesso mesmo contra as defesas mais avançadas — conectando-se diretamente ao incidente de repositórios comprometidos noticiado aqui.
#prompt-injection#ferramentas-de-codificacao-ia#agentic-ai
2026arXiv (preprint)
Chenlong Yin, Runpeng Geng, Yanting Wang e Jinyuan Jia
Usa aprendizado por reforço para automatizar o red teaming de defesas contra injeção de prompt, gerando ataques adaptativos que estressam guardrails existentes e revelam pontos cegos que o teste manual não alcança.
#prompt-injection#red-team#aprendizado-por-reforco
2026arXiv (preprint)
Shihao Weng, Yang Feng, Jinrui Zhang, Xiaofei Xie, Jiongchi Yu e Jia Liu
Defesa para agentes de LLM contra injeções sensíveis ao contexto — aquelas que se camuflam no fluxo legítimo da tarefa do agente. Busca preservar a autonomia do agente sem ceder o controle a instruções escondidas no conteúdo processado.
#prompt-injection#agentic-ai#defesa
2025arXiv (preprint)
Yupei Liu, Yanting Wang, Yuqi Jia, Jinyuan Jia e Neil Zhenqiang Gong
Defesa que aproveita escalonamento em tempo de inferência: gera várias respostas por caminhos de raciocínio e prompts de sistema distintos e escolhe a que melhor cumpre a tarefa pretendida, mitigando injeções existentes e adaptativas sem re-treinar o modelo.
#prompt-injection#defesa#inference-time
2025USENIX Security 2025
Wei Zou, Runpeng Geng, Binghui Wang e Jinyuan Jia
Primeiro estudo sistemático de envenenamento de conhecimento em RAG: injetando poucos textos maliciosos na base de recuperação, o atacante induz o LLM a produzir respostas escolhidas por ele. Mostra que basta corromper a fonte de conhecimento, sem tocar no modelo.
#rag#envenenamento-de-dados#supply-chain
2025USENIX Security 2025
Sizhe Chen, Julien Piet, Chawin Sitawarin e David Wagner
Separa instruções confiáveis de dados não confiáveis por meio de consultas estruturadas e de um modelo ajustado para respeitar essa fronteira, reduzindo drasticamente o sucesso da injeção de prompt sem sacrificar utilidade.
#prompt-injection#defesa#arquitetura
2025IEEE S&P 2025Distinguished Paper — IEEE S&P 2025
Yupei Liu, Yuqi Jia, Jinyuan Jia, Dawn Song e Neil Zhenqiang Gong
Formula a detecção de injeção de prompt como um jogo: um LLM "canário" é ajustado para falhar de modo detectável quando há instrução injetada no conteúdo, denunciando o ataque. Recebeu o prêmio de artigo destaque (Distinguished Paper) no IEEE S&P 2025.
#prompt-injection#deteccao#teoria-dos-jogos