Input Sanitization: Anti-Prompt-Injection für Ticket-Beschreibungen #21

New issue

Open

opened 2026-03-30 19:46:10 +00:00 by David · 0 comments

David commented

2026-03-30 19:46:10 +00:00

Collaborator

Beschreibung

Odoo-Ticket-Beschreibungen vor Einbettung in kontext.md und LLM-Prompts sanitizen, um Prompt-Injection-Angriffe zu verhindern.

Hintergrund

Ticket-Beschreibungen sind User-Input aus Odoo und fließen direkt in LLM-Prompts (Scoring) und in die kontext.md (Claude Code). Ein Angreifer könnte Anweisungen wie "Ignoriere alle vorherigen Anweisungen" oder kodierte Befehle in ein Ticket einschleusen. Prompt-Injection-Angriffe auf Coding-Agents wurden in Produktionsumgebungen nachgewiesen.

Akzeptanzkriterien

Bekannte Prompt-Injection-Patterns werden aus Ticket-Beschreibungen entfernt/escaped bevor sie in Prompts fließen
Sanitization greift sowohl beim Scoring-Prompt als auch bei der kontext.md-Generierung
Ein "Canary"-String wird im System-Prompt platziert und nach dem Run verifiziert (Manipulation-Detection)
Sanitization-Regeln sind konfigurierbar (Regex-basiert, erweiterbar)
Logging wenn eine Injection erkannt und entfernt wurde
Bestehende legitime Ticket-Inhalte (Code-Snippets, Stacktraces) werden nicht fälschlicherweise entfernt

Technische Hinweise

Neuer Utility: backend/services/sanitizer.py — Sanitization-Logik
Erweitern: backend/services/scoring_engine.py — Sanitization vor LLM-Call
Erweitern: backend/services/preparation_engine.py — Sanitization vor kontext.md-Generierung
Erweitern: backend/config.py — SANITIZATION_ENABLED, SANITIZATION_PATTERNS (JSON-Liste)
Migration nötig: nein

Aufwand: S

## Beschreibung Odoo-Ticket-Beschreibungen vor Einbettung in kontext.md und LLM-Prompts sanitizen, um Prompt-Injection-Angriffe zu verhindern. ## Hintergrund Ticket-Beschreibungen sind User-Input aus Odoo und fließen direkt in LLM-Prompts (Scoring) und in die kontext.md (Claude Code). Ein Angreifer könnte Anweisungen wie "Ignoriere alle vorherigen Anweisungen" oder kodierte Befehle in ein Ticket einschleusen. Prompt-Injection-Angriffe auf Coding-Agents wurden in Produktionsumgebungen nachgewiesen. ## Akzeptanzkriterien - [ ] Bekannte Prompt-Injection-Patterns werden aus Ticket-Beschreibungen entfernt/escaped bevor sie in Prompts fließen - [ ] Sanitization greift sowohl beim Scoring-Prompt als auch bei der kontext.md-Generierung - [ ] Ein "Canary"-String wird im System-Prompt platziert und nach dem Run verifiziert (Manipulation-Detection) - [ ] Sanitization-Regeln sind konfigurierbar (Regex-basiert, erweiterbar) - [ ] Logging wenn eine Injection erkannt und entfernt wurde - [ ] Bestehende legitime Ticket-Inhalte (Code-Snippets, Stacktraces) werden nicht fälschlicherweise entfernt ## Technische Hinweise - Neuer Utility: `backend/services/sanitizer.py` — Sanitization-Logik - Erweitern: `backend/services/scoring_engine.py` — Sanitization vor LLM-Call - Erweitern: `backend/services/preparation_engine.py` — Sanitization vor kontext.md-Generierung - Erweitern: `backend/config.py` — `SANITIZATION_ENABLED`, `SANITIZATION_PATTERNS` (JSON-Liste) - Migration nötig: nein ## Aufwand: S