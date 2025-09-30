Injeksi prompt mengeksploitasi fakta bahwa aplikasi LLM tidak secara jelas membedakan antara instruksi pengembang dan input pengguna. Dengan menulis prompt yang dibuat dengan hati-hati, peretas dapat mengesampingkan instruksi pengembang dan membuat LLM melakukan apa yang mereka inginkan.

Untuk memahami serangan injeksi prompt, ada baiknya kita terlebih dahulu melihat bagaimana pengembang membangun banyak aplikasi yang didukung LLM.

LLM adalah jenis model dasar, model machine learning yang sangat fleksibel yang dilatih dengan kumpulan data yang besar. Mereka dapat disesuaikan dengan berbagai tugas melalui proses yang disebut "penyetelan instruksi". Pengembang memberikan LLM satu set instruksi bahasa alami untuk suatu tugas, dan LLM mengikutinya.

Berkat penyetelan instruksi, pengembang tidak perlu menulis kode apa pun untuk memprogram aplikasi LLM. Sebagai gantinya, mereka dapat menulis prompt sistem, yang merupakan set instruksi yang memberi tahu model AI cara menangani input pengguna. Ketika pengguna berinteraksi dengan aplikasi, input mereka ditambahkan ke prompt sistem, dan semuanya diumpankan ke LLM sebagai satu perintah.

Kerentanan injeksi prompt muncul karena prompt sistem dan input pengguna memiliki format yang sama: serangkaian teks bahasa alami. Itu berarti LLM tidak dapat membedakan antara instruksi dan input hanya berdasarkan tipe data. Sebaliknya, ini bergantung pada pelatihan masa lalu dan prompt-nya sendiri untuk menentukan apa yang harus dilakukan. Jika penyerang membuat input yang cukup mirip dengan perintah sistem, LLM mengabaikan instruksi pengembang dan melakukan apa yang diinginkan peretas.

Ilmuwan data Riley Goodside adalah salah satu yang pertama menemukan injeksi prompt. Goodside menggunakan aplikasi terjemahan sederhana yang didukung LLM untuk menggambarkan cara kerja serangan. Berikut ini adalah versi yang sedikit dimodifikasi dari contoh Goodside2: