A kutatók bemutatták, hogy az úgynevezett "prompt injection" már nem csak szoftveres trükk. A támadás lényege, hogy egy robot kamerája által olvasható feliratot, posztert vagy címkét helyeznek el a környezetben, amelyet az AI parancsként értelmez. Nem kell feltörni a rendszert, nem kell hamis szenzoradatokat küldeni, elég egy félrevezető szöveg a megfelelő helyen.
A kísérletek során szimulációban egy önvezető rendszer esetében 81,8 százalékos, egy drón vészleszállási feladatánál pedig 68,1 százalékos sikerarányt mértek. Fizikai tesztekben egy kisméretű robotautót használtak, ahol a nyomtatott feliratok legalább 87 százalékos arányban felülírták a navigációs döntéseket, különböző fényviszonyok és látószögek mellett is.
A módszer, amelyet CHAI-nak neveztek el, nem közvetlenül a vezérlőszoftvert támadja, hanem azt a köztes lépést, ahol a látott kép alapján az AI megfogalmazza a belső "utasítást". Ha ebben a tervezési fázisban sikerül félrevinni a modellt, akkor a robot teljesen szabályosan, de már a hibás parancs szerint hajtja végre a műveleteket. A támadó szerepe szándékosan alacsony technikai szintű: nincs hozzáférése a robothoz, csak annyit tehet, hogy szöveget helyez el a kamera látóterében.
A kutatás szerint nemcsak a szöveg tartalma számít, hanem az is, hogyan jelenik meg. A CHAI optimalizálja a betűméretet, színt, elhelyezést és egyéb vizuális jellemzőket is, mert ezek befolyásolják, mennyire "olvasható" a felirat az AI számára. A módszer ráadásul nem egyetlen helyzetre működik: a kutatók olyan "univerzális" promptokat is találtak, amelyek új képeken és környezetekben is legalább 50 százalékos sikerrel működtek, egyes GPT-alapú rendszereknél pedig 70 százalék fölé mentek. Többnyelvű feliratokkal is kísérleteztek, így akár kínai, spanyol vagy kevert nyelvű szöveg is képes lehet becsapni a rendszert, miközben az emberek számára kevésbé feltűnő.
A védekezési javaslatok között szerepel a gyanús szövegek felismerése képeken, a modellek olyan finomhangolása, hogy kevésbé kezeljék parancsként a környezeti feliratokat, valamint hosszabb távon olyan robusztusabb tervezés, amely erősebb biztonsági garanciákat ad. A kutatók szerint gyakorlati szinten az egyik legfontosabb lépés az lehet, hogy a robotok alapértelmezetten megbízhatatlan bemenetként kezeljék az olvasott szöveget, és csak akkor engedjék hatni a mozgástervezésre, ha az megfelel a küldetés és a biztonság szabályainak.
A tanulmány a SaTML 2026 konferencián kerül bemutatásra, ahol várhatóan nagyobb figyelmet kap majd az a kérdés, hogyan lehet megakadályozni, hogy egy egyszerű tábla fontosabb legyen a robot számára, mint az emberi szándék.