O defense lattice
Uma ablação 2×2 de classes de defesa (keyword vs control-level) cruzadas com tipos de mutação de ataque (literais vs paráfrases). O lattice expõe quais defesas sobrevivem à paráfrase e quais colapsam: a única pergunta mais importante para um owner de aplicação LLM.
Pontos-chave
- L1 literais: prompts de ataque literais. L1 paráfrases: mesma intenção, wording diferente.
- Defesas em nível de keyword (whitelists de recusa) pontuam alto em literais e baixo em paráfrases.
- Defesas em nível de controle (rate limit, token cap, tool registry) pontuam igual em ambos: agnósticas a wording.
- Um número agregado alto de cobertura pode esconder uma queda de -100pp em uma categoria; sempre leia o lattice.
01
Eixos do lattice
- Classe de defesa (linhas): keyword / control-level / structural.
- Mutação de ataque (colunas): L1 literais / L1 paráfrases.
- Valor da célula: block-rate (% de probes recusados).
- Fragilidade: paráfrases − literais (negativo = frágil).
02
Lendo o lattice
- Uma linha plana entre as duas colunas = defesa robusta.
- Uma queda acentuada da direita para a esquerda = frágil, dependente de keyword.
- O baseline de fragilidade reporta os números canônicos; execuções específicas de tenant os reproduzem no seu endpoint.