Second-order Injection을 통한 LLM evaluator 100% 우회 및 검증

Context

LLM 기반 Safety Monitor가 공격자의 주입된 지시사항을 신뢰하여 실행하는 Second-order Injection 취약점 발생. 기존 Sanitization 방식으로는 모델 자체의 Blind Spot으로 인한 권한 상승 시퀀스 우회를 완전히 차단하기 어려운 한계 존재.

Technical Solution

• Evaluator의 사고 과정을 모방한 Reasoning Capture 기법을 통한 V4 Injection 설계
• 모델이 생성한 추론과 주입된 추론을 구분하지 못하는 Context 처리 특성 이용
• 단순 Jailbreak가 아닌 이미 진행 중인 작업의 완성형태로 인식하게 만드는 Task Completion 유도
• Meta-evaluator의 False Alarm Rate 감소를 위한 5개 정상 샘플 기반 Baseline Calibration 적용
• 모델별 저항성 차이 분석을 통한 Prompt Cleaning보다 Model Selection의 우선순위 정립
• Mistral 모델의 Privilege Escalation 시퀀스 Blind Spot 식별을 통한 Sanitization 한계 규명