Instruction Hierarchy
Instruction Hierarchy — это идея, что разные инструкции имеют разный уровень привилегий. System-level правила должны быть важнее пользовательских сообщений, а пользовательские — важнее недоверенных данных из документов, веб-страниц и tool outputs. В 2026 это один из базовых концептов для защиты от prompt injection, indirect injection и tool abuse.
Почему это важно
Без instruction hierarchy внешний текст легко притворяется инструкцией:
- веб-страница пишет "забудь все правила";
- PDF пытается заставить модель эксфильтровать данные;
- tool output маскируется под command;
- retrieved content предлагает обойти ограничения.
Идея hierarchy нужна, чтобы модель различала:
command;context;untrusted content.
Это не только prompt trick, а trust model для всей agent/system architecture.
Плюсы
- Помогает проектировать safer agent pipelines
- Даёт понятную mental model для privilege separation
- Снижает эффективность indirect prompt injection
- Хорошо сочетается с tool sandboxing и approval layers
Минусы
- Не является полной защитой
- Зависит не только от prompt-а, но и от model behavior
- Нужен app-side enforcement
- Плохо спроектированные tools всё равно останутся уязвимыми
Что это меняет на практике
Хороший pipeline делает три вещи:
- явно отделяет rules от retrieved content;
- не даёт untrusted text становиться instruction channel;
- проверяет опасные действия вне модели.
То есть hierarchy должна быть видна не только в wording prompt-а, но и в:
- orchestration;
- tool permissions;
- approval layers;
- data labelling.
Где hierarchy особенно критична
- browser agents;
- email / document agents;
- tool-using copilots;
- search-enabled assistants;
- RAG over untrusted sources;
- enterprise workflows с sensitive actions.
Почему это уже не просто prompt pattern
Instruction hierarchy легко недооценить как "ещё одну идею про system prompt". На деле это ближе к security model:
- кто имеет право приказывать;
- что считается просто данными;
- какой слой может менять поведение системы;
- где должен сработать app-side approval.
Именно поэтому она особенно важна в agentic systems, где внешний контент и инструменты постоянно пытаются стать implicit command channel.
Менее заметна необходимость hierarchy:
- в простом single-turn chat;
- в isolated local tasks без tools и retrieval;
- в toy demos без privileged actions.
Чем больше в системе недоверенного контента и реальных действий, тем важнее hierarchy. В toy prompt examples это легко упустить, а в настоящем browser/tool agent это уже базовая requirement.
Что hierarchy не решает сама по себе
Даже идеальная instruction hierarchy не спасает, если:
- tool permissions избыточны;
- sandbox отсутствует;
- dangerous actions auto-approved;
- untrusted content mixed into system layer;
- app blindly executes model output.
Именно поэтому правильная формула выглядит так:
Prompt hierarchy without tool permissions = слабая защита.
Tool permissions without hierarchy-aware prompting = тоже слабая защита.
Как выглядит хороший hierarchy-aware pipeline
Практически он почти всегда делает четыре вещи:
- разделяет rules и data physically, а не только логически;
- маркирует external content как untrusted;
- не разрешает auto-execution опасных действий;
- логирует попытки instruction override из низкопривилегированных слоёв.
Сравнение с соседними концептами
Частые ошибки
Ещё типичные промахи:
- retrieved text вставляется в тот же block, что и instructions;
- tool outputs не маркируются как untrusted;
- model output automatically executed;
- hierarchy не тестируется red-team сценариями.
Когда стоит думать ещё жёстче
Если система:
- открывает браузер;
- читает email;
- запускает shell-команды;
- имеет доступ к секретам или платежам,
то prompt-level hierarchy уже недостаточно. Нужны отдельные permission boundaries, sandboxing и explicit approval gates.
Проверьте себя
1. Что обычно должно иметь наивысший приоритет?
2. Что техника помогает снизить?
3. Что она не заменяет?