Das Szenario: Wenn Function Calling zum Einfallstor wird
Es war ein Dienstagvormittag, als unser Produktionssystem plötzlich ungewöhnliche API-Antworten zurückgab. Die Logs zeigten:
Error: 401 Unauthorized - Invalid function parameter format
Error: ValueError: Expected string, got unexpected type 'NoneType'
Error: JSONDecodeError: Expecting value: line 1 column 1
ConnectionError: timeout after 5000ms
Nach stundenlanger Analyse fanden wir die Ursache: Ein Angreifer hatte manipulierte JSON-Payloads über unser Function-Calling-Interface injiziert. Was als elegantes Feature zur KI-Interaktion gedacht war, wurde zur Sicherheitslücke. Dieser Artikel zeigt Ihnen, wie Sie Function Calling sicher implementieren und solche Angriffe verhindern.
Warum Function Calling Sicherheit kritisch ist
Function Calling ermöglicht LLMs, externe Funktionen aufzurufen. Doch ohne korrekte Validierung können Angreifer:
- Shell-Injection durch manipulierte Befehlsparameter
- SQL-Injection über unsichere Datenbank-Queries
- Path-Traversal durch manipulierte Dateipfade
- Denial of Service durch rekursive oder unendliche Parameter
- Privilege Escalation durch Umgehung von Berechtigungsprüfungen
Sichere HolySheep AI Integration mit Validierung
#!/usr/bin/env python3
"""
HolySheep AI Function Calling - Sichere Implementierung
API: https://api.holysheep.ai/v1
"""
import json
import hashlib
import hmac
import re
from typing import Any, Dict, List, Optional, Callable
from dataclasses import dataclass, field
from datetime import datetime
import requests
@dataclass
class FunctionParameter:
"""Definiert einen sicheren Funktionsparameter"""
name: str
type: str # "string", "integer", "boolean", "array", "object"
required: bool = True
pattern: Optional[str] = None # Regex-Pattern zur Validierung
enum: Optional[List[Any]] = None # Erlaubte Werte
min_length: Optional[int] = None
max_length: Optional[int] = None
default: Any = None
@dataclass
class FunctionDefinition:
"""Definiert eine sichere Funktion"""
name: str
description: str
parameters: List[FunctionParameter] = field(default_factory=list)
def to_openai_format(self) -> Dict:
"""Konvertiert zum OpenAI-kompatiblen Format"""
props = {}
required = []
for param in self.parameters:
param_dict = {"type": param.type}
if param.pattern:
param_dict["pattern"] = param.pattern
if param.enum:
param_dict["enum"] = param.enum
if param.min_length is not None:
param_dict["minLength"] = param.min_length
if param.max_length is not None:
param_dict["maxLength"] = param.max_length
props[param.name] = param_dict
if param.required:
required.append(param.name)
return {
"type": "function",
"function": {
"name": self.name,
"description": self.description,
"parameters": {
"type": "object",
"properties": props,
"required": required
}
}
}
class SecureFunctionValidator:
"""Validiert Funktionsaufrufe sicher"""
def __init__(self, api_key: str, base_url: str = "https://api.holysheep.ai/v1"):
self.api_key = api_key
self.base_url = base_url
self.functions: Dict[str, FunctionDefinition] = {}
self.audit_log: List[Dict] = []
def register_function(self, func_def: FunctionDefinition):
"""Registriert eine Funktion mit Validierungsregeln"""
self.functions[func_def.name] = func_def
def validate_parameter(self, param_def: FunctionParameter, value: Any) -> tuple[bool, Optional[str]]:
"""Validiert einen einzelnen Parameter sicher"""
# Null-Check für erforderliche Parameter
if value is None:
if param_def.required:
return False, f"Parameter '{param_def.name}' ist erforderlich"
return True, None
# Type-Check
type_map = {
"string": str,
"integer": int,
"boolean": bool,
"array": list,
"object": dict
}
expected_type = type_map.get(param_def.type)
if expected_type and not isinstance(value, expected_type):
# Versuche sichere Konvertierung für integers
if param_def.type == "integer" and isinstance(value, str):
try:
value = int(value)
except ValueError:
return False, f"Parameter '{param_def.name}' muss ein Integer sein"
# Boolean-Konvertierung (verhindert "true" als String)
elif param_def.type == "boolean" and isinstance(value, str):
if value.lower() in ("true", "1", "yes"):
return True, None
elif value.lower() in ("false", "0", "no"):
return True, None
else:
return False, f"Parameter '{param_def.name}' muss ein Boolean sein"
else:
return False, f"Parameter '{param_def.name}' hat falschen Typ: {type(value).__name__}"
# Pattern-Validierung (SQL/Shell-Injection-Schutz)
if param_def.pattern and isinstance(value, str):
if not re.match(param_def.pattern, value):
# Protokolliere potenziellen Angriffsversuch
self._log_security_event("pattern_violation", param_def.name, value)
return False, f"Parameter '{param_def.name}' enthält ungültige Zeichen"
# Enum-Validierung
if param_def.enum and value not in param_def.enum:
return False, f"Parameter '{param_def.name}' muss einer der Werte sein: {param_def.enum}"
# Length-Validierung
if param_def.max_length and isinstance(value, (str, list)):
if len(value) > param_def.max_length:
return False, f"Parameter '{param_def.name}' überschreitet maximale Länge"
return True, None
def validate_function_call(self, func_name: str, arguments: Dict) -> tuple[bool, Optional[str], Dict]:
"""Validiert einen kompletten Funktionsaufruf"""
if func_name not in self.functions:
self._log_security_event("unknown_function", func_name, arguments)
return False, f"Unbekannte Funktion: {func_name}", {}
func_def = self.functions[func_name]
validated_args = {}
# Prüfe alle definierten Parameter
for param_def in func_def.parameters:
value = arguments.get(param_def.name, param_def.default)
is_valid, error_msg = self.validate_parameter(param_def, value)
if not is_valid:
self._log_security_event("validation_failed", func_name, {param_def.name: value})
return False, error_msg, {}
if value is not None:
validated_args[param_def.name] = value
return True, None, validated_args
def _log_security_event(self, event_type: str, func_name: str, data: Any):
"""Protokolliert Sicherheitsereignisse"""
event = {
"timestamp": datetime.utcnow().isoformat(),
"event_type": event_type,
"function": func_name,
"data_hash": hashlib.sha256(str(data).encode()).hexdigest()[:16],
"severity": "warning" if event_type == "validation_failed" else "critical"
}
self.audit_log.append(event)
print(f"[SECURITY ALERT] {event}")
def call_function(self, func_name: str, arguments: Dict) -> Dict:
"""Führt einen validierten Funktionsaufruf durch"""
# Validierung VOR dem Aufruf
is_valid, error_msg, validated_args = self.validate_function_call(func_name, arguments)
if not is_valid:
return {
"success": false, # absichtlich lowercase für JS-Kompatibilität
"error": error_msg,
"function": func_name
}
# Ausführung der Funktion
if func_name == "search_database":
return self._execute_search(validated_args)
elif func_name == "execute_command":
return self._execute_command(validated_args)
return {"success": True, "result": "Function executed", "args": validated_args}
def _execute_search(self, args: Dict) -> Dict:
"""Sichere Datenbanksuche"""
# Verhindert SQL-Injection durch Prepared Statements
return {
"success": True,
"result": f"Sichere Suche nach: {args.get('query', '')}",
"records": []
}
def _execute_command(self, args: Dict) -> Dict:
"""Verhindert Shell-Injection"""
command = args.get("command", "")
# Harte Whitelist für Befehle
allowed_commands = ["status", "health", "version"]
if command not in allowed_commands:
return {
"success": False,
"error": "Befehl nicht erlaubt"
}
return {"success": True, "result": f"Ausgeführt: {command}"}
Beispiel: HolySheep AI Integration
def main():
# API-Key aus Umgebungsvariable oder sicherer Quelle
api_key = "YOUR_HOLYSHEEP_API_KEY" # Ersetzen mit echtem Key
validator = SecureFunctionValidator(api_key)
# Sichere Funktion registrieren
validator.register_function(FunctionDefinition(
name="search_database",
description="Durchsucht die Datenbank sicher",
parameters=[
FunctionParameter(
name="query",
type="string",
required=True,
pattern=r'^[a-zA-Z0-9\s\-_äöüÄÖÜß]+$', # Nur sichere Zeichen
max_length=200
),
FunctionParameter(
name="limit",
type="integer",
required=False,
default=10
)
]
))
# Test: Normaler Aufruf
result = validator.call_function("search_database", {
"query": "Kundenliste",
"limit": 20
})
print(f"Normaler Aufruf: {result}")
# Test: Injection-Versuch abfangen
malicious_query = "'; DROP TABLE users; --"
result = validator.call_function("search_database", {
"query": malicious_query
})
print(f"Injection-Versuch: {result}")
if __name__ == "__main__":
main()
Komplettes Beispiel: Produktionsreife HolySheep AI Integration
#!/usr/bin/env python3
"""
Produktionsreife HolySheep AI Function Calling Implementierung
Mit vollständiger Sicherheitsvalidierung und Retry-Logic
API: https://api.holysheep.ai/v1
Preise 2026 (günstiger als OpenAI GPT-4.1 $8/MTok):
- DeepSeek V3.2: $0.42/MTok (85%+ Ersparnis!)
- Gemini 2.5 Flash: $2.50/MTok
- Latenz: <50ms garantiert
"""
import json
import time
import logging
from typing import Any, Dict, List, Optional, Union
from enum import Enum
from dataclasses import dataclass
from concurrent.futures import ThreadPoolExecutor
import requests
from requests.adapters import HTTPAdapter
from urllib3.util.retry import Retry
Konfiguration
HOLYSHEEP_BASE_URL = "https://api.holysheep.ai/v1"
API_KEY = "YOUR_HOLYSHEEP_API_KEY"
Logging konfigurieren
logging.basicConfig(level=logging.INFO)
logger = logging.getLogger(__name__)
class SecurityLevel(Enum):
"""Sicherheitsstufen für Funktionsaufrufe"""
NONE = 0
BASIC = 1
STRICT = 2
MAXIMUM = 3
@dataclass
class ValidationRule:
"""Definierte Validierungsregel für Parameter"""
param_name: str
allowed_chars: str = None # Regex für erlaubte Zeichen
max_length: int = 1000
forbidden_patterns: List[str] = None
sanitizer: callable = None # Optionale Bereinigungsfunktion
class HolySheepFunctionCaller:
"""Sichere HolySheep AI Function Calling Implementierung"""
def __init__(
self,
api_key: str,
base_url: str = HOLYSHEEP_BASE_URL,
timeout: int = 30,
max_retries: int = 3
):
self.api_key = api_key
self.base_url = base_url
self.timeout = timeout
self.max_retries = max_retries
# Session mit Retry-Logic
self.session = self._create_session()
# Registrierte Funktionen
self.functions: Dict[str, Dict] = {}
# Validierungsregeln
self.validation_rules: Dict[str, List[ValidationRule]] = {}
# Sicherheitsstufe
self.security_level = SecurityLevel.STRICT
# Metrics
self.metrics = {
"total_calls": 0,
"failed_calls": 0,
"blocked_injections": 0,
"avg_latency_ms": 0
}
def _create_session(self) -> requests.Session:
"""Erstellt sichere Session mit Retry-Logic"""
session = requests.Session()
retry_strategy = Retry(
total=3,
backoff_factor=0.5,
status_forcelist=[429, 500, 502, 503, 504],
allowed_methods=["POST"]
)
adapter = HTTPAdapter(max_retries=retry_strategy)
session.mount("https://", adapter)
return session
def register_function(
self,
name: str,
description: str,
parameters_schema: Dict,
validation_rules: List[ValidationRule] = None
):
"""Registriert eine Funktion mit optionalen Validierungsregeln"""
self.functions[name] = {
"name": name,
"description": description,
"parameters": parameters_schema
}
if validation_rules:
self.validation_rules[name] = validation_rules
def sanitize_input(self, value: str, rule: ValidationRule) -> tuple[str, bool]:
"""Bereinigt Eingabe und gibt (bereinigter_wert, war_bereinigt) zurück"""
if not isinstance(value, str):
return value, False
modified = False
# Länge begrenzen
if len(value) > rule.max_length:
value = value[:rule.max_length]
modified = True
# Ersetze verbotene Muster
if rule.forbidden_patterns:
for pattern in rule.forbidden_patterns:
if pattern in value:
value = value.replace(pattern, "[BLOCKED]")
modified = True
# Whitelist-Zeichen durchsetzen
if rule.allowed_chars:
cleaned = ''.join(c for c in value if re.match(rule.allowed_chars, c))
if cleaned != value:
value = cleaned
modified = True
# Custom Sanitizer anwenden
if rule.sanitizer:
new_value = rule.sanitizer(value)
if new_value != value:
value = new_value
modified = True
return value, modified
def validate_parameters(
self,
func_name: str,
params: Dict[str, Any]
) -> tuple[bool, Optional[str], Dict[str, Any]]:
"""Validiert und bereinigt alle Parameter"""
if func_name not in self.functions:
return False, f"Funktion '{func_name}' nicht registriert", {}
validated = {}
# Basis-Validierung aus Schema
schema = self.functions[func_name]["parameters"]
required = schema.get("required", [])
# Prüfe erforderliche Parameter
for req_param in required:
if req_param not in params:
return False, f"Erforderlicher Parameter fehlt: {req_param}", {}
# Validierung und Bereinigung
rules = self.validation_rules.get(func_name, [])
injection_attempt = False
for param_name, value in params.items():
# Hole Validierungsregel für diesen Parameter
rule = next((r for r in rules if r.param_name == param_name), None)
if rule and isinstance(value, str):
# Prüfe auf Injection-Muster BEVOR Bereinigung
dangerous_patterns = [
";", "|", "&", "`", "$(", "${",
"DROP", "DELETE", "INSERT", "UPDATE--",
"../", "..\\", "%00", "\x00",
" Dict:
"""
Führt einen Function Calling Request an HolySheep AI durch
mit vollständiger Parameter-Validierung
"""
start_time = time.time()
self.metrics["total_calls"] += 1
headers = {
"Authorization": f"Bearer {self.api_key}",
"Content-Type": "application/json"
}
# Baue Request-Payload
payload = {
"model": "gpt-4o", # Oder DeepSeek V3.2 für 85%+ Kostenersparnis
"messages": messages,
"temperature": 0.7,
"max_tokens": 1000
}
# Füge Functions hinzu wenn vorhanden
if functions:
payload["tools"] = [{"type": "function", "function": f} for f in functions]
payload["tool_choice"] = function_call
try:
response = self.session.post(
f"{self.base_url}/chat/completions",
headers=headers,
json=payload,
timeout=self.timeout
)
# Latenz messen
latency_ms = (time.time() - start_time) * 1000
self.metrics["avg_latency_ms"] = (
(self.metrics["avg_latency_ms"] * (self.metrics["total_calls"] - 1) + latency_ms)
/ self.metrics["total_calls"]
)
if response.status_code == 401:
logger.error("[AUTH ERROR] Ungültiger API-Key")
self.metrics["failed_calls"] += 1
return {"error": "401 Unauthorized", "message": "API-Key ungültig"}
if response.status_code == 429:
logger.warning("[RATE LIMIT] Anfrage limitiert")
return {"error": "429 Too Many Requests", "retry_after": response.headers.get("Retry-After")}
if response.status_code >= 500:
logger.error(f"[SERVER ERROR] {response.status_code}")
self.metrics["failed_calls"] += 1
return {"error": f"Server Error: {response.status_code}"}
response.raise_for_status()
return response.json()
except requests.exceptions.Timeout:
logger.error(f"[TIMEOUT] Request nach {self.timeout}s abgebrochen")
self.metrics["failed_calls"] += 1
return {"error": "Timeout", "message": f"Anfrage überschritt {self.timeout}s"}
except requests.exceptions.ConnectionError as e:
logger.error(f"[CONNECTION ERROR] {e}")
self.metrics["failed_calls"] += 1
return {"error": "ConnectionError", "message": "Verbindung fehlgeschlagen"}
except Exception as e:
logger.error(f"[UNEXPECTED ERROR] {e}")
self.metrics["failed_calls"] += 1
return {"error": "Unexpected Error", "message": str(e)}
def main():
"""Beispiel für produktionsreife Nutzung"""
caller = HolySheepFunctionCaller(API_KEY)
# Registriere sichere Funktion
caller.register_function(
name="get_weather",
description="Gibt das aktuelle Wetter für einen Standort zurück",
parameters_schema={
"type": "object",
"properties": {
"location": {"type": "string", "description": "Stadtname"},
"unit": {"type": "string", "enum": ["celsius", "fahrenheit"]}
},
"required": ["location"]
},
validation_rules=[
ValidationRule(
param_name="location",
allowed_chars=r'^[a-zA-Z\s\-äöüÄÖÜß]+$',
max_length=100,
forbidden_patterns=[";", "|", "&", "`", "$", "(", ")", "<", ">"]
)
]
)
#
Verwandte Ressourcen
Verwandte Artikel