論文の概要: Structural Role Injection in Handlebars-Templated LLM Prompts: Triple-Brace Interpolation, Delimiter Family, and the Limits of HTML Auto-Escaping
- arxiv url: http://arxiv.org/abs/2606.18120v1
- Date: Tue, 16 Jun 2026 16:21:43 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-17 17:15:32.544067
- Title: Structural Role Injection in Handlebars-Templated LLM Prompts: Triple-Brace Interpolation, Delimiter Family, and the Limits of HTML Auto-Escaping
- Title(参考訳): ハンドバーテンプレートLDMプロンプにおける構造的役割注入:三重分岐補間、デリミターファミリー、およびHTMLオートエスケープの限界
- Authors: Mohammadreza Rashidi,
- Abstract要約: Handlebarsは広く使われているテンポエンジンで、Microsoft Kernelのデフォルトのプロンプトテンプレートフォーマットである。
そのdouble-brace x式は、値をエスケープし、セーフデフォルトとしてドキュメント化される。
この選択は、アプリケーションの構造的役割注入への露出を静かに制御することを示す。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Large language model applications build prompts from templates, and Handlebars is a widely used templating engine and the default prompt-template format in Microsoft Semantic Kernel. Its double-brace {x} expression HTML-escapes the interpolated value and is documented as the safe default; its triple-brace {x} expression inserts the value raw. We show that this choice silently governs an application's exposure to structural role injection, where attacker-controlled data carries chat role delimiters that forge a higher-privilege turn. A model-free analysis establishes the mechanism: Handlebars escaping rewrites angle brackets but not square brackets, colons, or Markdown hashes, so it neutralises ChatML, Llama-3, and XML role delimiters (survival rate 0.00) while leaving Llama-2 [INST], legacy Human:/Assistant:, and Markdown ### delimiters intact (survival rate 1.00 for the last two). We then run 5760 trials across seven delimiter families, two attack objectives, and four models (GPT-3.5 Turbo, GPT-4o mini, GPT-4.1 mini, Claude Haiku 4.5) at a combined API cost of 1.63 USD. GPT-3.5 Turbo follows the task-hijack instruction in 97% of raw and 91% of escaped trials, with the escaping protection concentrated in the angle-bracket families and absent for the colon- and Markdown-based families; the harder secret-exfiltration objective, which does not saturate, exposes the same family interaction more cleanly. Claude Haiku 4.5 resists both objectives almost entirely. The escaped default protects only the delimiter schemes whose characters HTML escaping happens to cover, gives no protection for the rest, and cannot substitute for a structural separation of instruction and data.
- Abstract(参考訳): 大規模な言語モデルアプリケーションはテンプレートからプロンプトをビルドし、Handlebarsは広く使われているテンプレートエンジンであり、Microsoft Semantic Kernelのデフォルトのプロンプトテンプレートフォーマットである。
そのdouble-brace {x}式は補間された値をエスケープし、セーフデフォルトとしてドキュメント化される。
この選択は、アタッカーが制御するデータがチャットロールのデリミタを持ち、より高い権限を持つターンを転送する構造的ロールインジェクションに対するアプリケーションの露出を静かに制御することを示す。
手書き文字の書き直しは角括弧ではなく、角括弧、コロンまたはマークダウンハッシュをエスケープするので、ChatML、Llama-3、XMLロールデリミッタ(生存率0.00)を中和し、Llama-2[INST]、レガシーなHuman:/Assistant:、Markdown##デリミッタを無傷で残す(最後の2回は生存率1.00)。
次に,7つのデリミタファミリー,2つの攻撃目標,および4つのモデル(GPT-3.5 Turbo, GPT-4o mini, GPT-4.1 mini, Claude Haiku 4.5)を合計1.63米ドルのAPIコストで5760の試行を行った。
GPT-3.5 Turboは、脱走試験の97%と91%のタスクヒジャック命令に従っており、脱走保護はアングルブラケットファミリーに集中しており、結腸およびマークダウンベースの家族には不在である。
クロード・ハイク4.5は両方の目的にほぼ完全に抵抗する。
エスケープされたデフォルトは、HTMLのエスケープ文字がカバーされるデリミタスキームのみを保護し、残りを保護せず、命令とデータの構造的な分離を代用できない。
関連論文リスト
- Off-Distribution Voices: Fanfiction Subgenres as Universal Vernacular Jailbreaks for Aligned LLMs [6.968072313163437]
現実のファンフィクションのサブジャンルをユニバーサルアタックキャリアとして利用する最初のジェイルブレイクファミリーを紹介します。
創造的なメタは、12のArchive of Our Own (AO3)サブジャンルの1つのパスで条件付けされる。
ハームベンチとジェイルブレイクベンチの合併による8機のLLMでは、この攻撃によりASRは0.278から0.731に上昇した。
論文 参考訳(メタデータ) (2026-06-03T06:01:47Z) - Long Live Fine-Tuning: Task-Specific Transformers Outperform Zero-Shot LLMs for Misinformation Response Classification on Reddit [5.437038443632133]
我々は,誤情報談話の微妙な分類にスケールと一般能力が十分であるという暗黙の仮定を検証した。
BART-MNLI、3つのLlama変種、3つの商用フロンティアLLM、微調整されたDistilBERTとRoBERTaの9つのモデルを比較した。
検証のコンテキストでは、欠落した信念がコストの低いエラーである場合、タスク固有の微調整の方がより信頼性の高い選択である。
論文 参考訳(メタデータ) (2026-06-02T22:58:59Z) - The Last Fingerprint: How Markdown Training Shapes LLM Prose [0.0]
私たちは、エムダッシュが散文にマークダウンリークしていることを提案します。
トレーニングデータ構成,構造的内部化,エムダッシュの二重登録状態,訓練後の増幅を結合する5段階の系譜を提案する。
論文 参考訳(メタデータ) (2026-03-27T21:42:06Z) - PromptPort: A Reliability Layer for Cross-Model Structured Extraction [0.11280931253550518]
LLMによる構造化抽出は、モデルが理解できないためではなく、出力フォーマットがモデルやプロンプト間で信頼できないため、本番環境では失敗する。
本稿では,決定論的正準化と軽量検証器(DistilBERT)と安全オーバライドポリシを組み合わせた信頼性層であるPromptPortを提案する。
この方法は、保留モデルファミリに一般化し、不確実な場合には明示的な棄権を与え、プロダクションデプロイメントにおける信頼性の高い構造化抽出を可能にする。
論文 参考訳(メタデータ) (2026-01-06T03:54:27Z) - AICC: Parse HTML Finer, Make Models Better -- A 7.3T AI-Ready Corpus Built by a Model-Based HTML Parser [54.623900859999424]
我々は、コンテンツ抽出をシーケンスラベリング問題として再構成する新しい抽出パイプラインであるMinerU-HTMLを紹介する。
MainWebBenchでは、7,887の注釈付きWebページ、MinerU-HTML 81.8%のROUGE-N F1をTrfilaturaの63.6%と比較した。
論文 参考訳(メタデータ) (2025-11-20T14:15:23Z) - h4rm3l: A language for Composable Jailbreak Attack Synthesis [48.5611060845958]
h4rm3lは、人間が読めるドメイン固有言語とのギャップに対処する新しいアプローチである。
我々は、h4rm3lの合成攻撃は、文献における既存のジェイルブレイク攻撃よりも多様で、より成功していることを示す。
論文 参考訳(メタデータ) (2024-08-09T01:45:39Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。