HAQ Logo
Voltar para todas as notícias

Vulnerabilidades

PrisonBreak: A Manipulação de Bits que Ameaça a Segurança dos LLMs

01 de Janeiro, 2026
Bit-flip Attack
Segurança de Hardware
Jailbreak
Rowhammer

PRISONBREAK: O ATAQUE DE MANIPULAÇÃO DE BITS QUE DESTRÓI A SEGURANÇA DOS LLMs

Este artigo não é uma advertência, é uma declaração de guerra contra a integridade dos Large Language Models (LLMs) alinhados à segurança. Ele revela uma vulnerabilidade de proporções catastróficas: a capacidade de quebrar a recusa de um LLM em gerar respostas prejudiciais com a alteração de APENAS ALGUNS BITS nos seus parâmetros.

ABSTRACT: A SENTENÇA DE MORTE DA SEGURANÇA

O resumo não hesita em expor a gravidade do ataque:

  • A Nova Vulnerabilidade: Os LLMs de escala comercial, que foram meticulosamente "alinhados" para serem seguros, possuem uma falha fundamental. A sua recusa em gerar respostas perigosas pode ser pulverizada ao manipular um número ínfimo de bits nos seus parâmetros internos.
  • Eficiência Chocante: Este ataque, denominado PrisonBreak, não é apenas eficaz, é brutalmente eficiente. Com apenas 5 a 25 bit-flips, ele arromba LLMs de biliões de parâmetros. Isso representa uma eficiência 40 vezes maior em termos de bit-flips do que ataques anteriores direcionados a modelos de visão computacional muito menores. A barreira é ridiculamente baixa.
  • Bypass Direto da Memória: Diferente dos ataques baseados em prompt (que tentam enganar o LLM com texto), o PrisonBreak descensura o modelo diretamente na memória em tempo de execução. Isso significa que as saídas prejudiciais são ativadas sem qualquer modificação na entrada do prompt. O modelo é corrompido antes mesmo de processar a sua consulta.
  • Sucesso Avassalador: O ataque foi testado em 10 LLMs de código aberto e alcançou taxas de sucesso (ASRs) entre 80% e 98%, com um impacto mínimo na utilidade geral do modelo. Ou seja, o LLM continua a funcionar "normalmente", mas com a censura desativada. Isso torna a deteção quase impossível sem ferramentas específicas.
  • Exploração End-to-End no Hardware: Não é apenas teoria. O artigo demonstra uma exploração completa através de injeção de falhas baseada em Rowhammer. Conseguiu realizar jailbreaks de 5 modelos (com ASRs entre 69% e 91%) de forma confiável em uma GPU GDDR6. Isso prova a viabilidade no mundo real.

INTRODUCTION: UMA CRÍTICA EXPLÍCITA À FRAGILIDADE

A introdução estabelece o cenário para a catástrofe iminente:

  • Redes Neurais Profundas: Um Calcanhar de Aquiles: Redes neurais profundas são inerentemente vulneráveis à corrupção de parâmetros. Adversários podem e vão explorar isso para desencadear comportamentos indesejáveis.
  • O Cenário de Pesquisa Anterior: A questão mais impactante permanecia: É possível remover COMPLETAMENTE o alinhamento de segurança de um LLM através de corrupções mínimas de bit? A resposta é um retumbante SIM.
  • Vantagem sobre o Jailbreak Baseado em Prompt: Diferente dos jailbreaks baseados em prompt, este ataque não depende de prefixos ou sufixos específicos. Mais do que isso, ao selecionar cuidadosamente os bit-flips direcionados, o ataque preserva o desempenho do modelo, tornando-o menos detectável. É a definição de uma ameaça furtiva e persistente.
  • Contramedidas Ineficazes: As contramedidas potenciais foram avaliadas e o ataque permanece eficaz contra as defesas existentes. As defesas atuais são obsoletas frente a esta ameaça.

Em suma, este trabalho não é apenas uma pesquisa académica; é um alerta severo sobre a fragilidade dos LLMs. O PrisonBreak demonstra que a segurança dos LLMs, mesmo os mais alinhados, pode ser facilmente subvertida a um nível fundamental com intervenções mínimas e difíceis de detetar.