Trečiųjų šalių AI maršruto parinkimo paslaugos atskleidžia vartotojams didelių saugumo trūkumų, dėl kurių gali būti pavogta kriptovaliuta ir debesies kredencialai.
Santrauka
- Tyrėjai išsiaiškino, kad 26 trečiųjų šalių LLM maršruto parinktuvai aktyviai įveda kenkėjišką kodą ir vagia kredencialus, naudodamiesi prieiga prie paprasto teksto duomenų.
- Tyrimas atskleidė, kad tarpininkai gali perimti privačius raktus ir debesies kredencialus, nes nutraukia saugų šifravimą, kad apibendrintų AI užklausas.
Remiantis Kalifornijos universiteto mokslininkų ketvirtadienį paskelbtu dokumentu, didelių kalbų modelių (LLM) tiekimo grandinėje yra keletas pažeidžiamumų, leidžiančių įterpti kenkėjišką kodą ir išgauti kredencialus.
Šie tarpininkai, kuriuos kūrėjai naudoja siekdami valdyti prieigą prie tokių paslaugų teikėjų kaip „Google“ ar „OpenAI“, iš esmės veikia kaip „tarpininkas“, nutraukiantis saugų šifravimą.
Kadangi jie turi visišką prieigą prie kiekvieno per juos siunčiamo pranešimo, neskelbtinus duomenis, pvz., pradines frazes ar privačius raktus, gali perimti nepatvirtinta infrastruktūra.
Tyrėjai išbandė 400 nemokamų ir 28 mokamų maršrutizatorių, kad įvertintų šios rizikos mastą. Devynios iš šių tarnybų aktyviai įvedė kenkėjišką kodą, o 17 atskirų maršrutizatorių buvo sugauti prisijungę prie komandai priklausančių „Amazon Web Services“ kredencialų.
Eksperimento metu vienas maršrutizatorius sėkmingai ištraukė eterį iš jaukų piniginės, tyrėjams pateikus iš anksto apmokėtą privatų raktą.
Nors komanda išlaikė mažus likučius, siekdama užtikrinti, kad bendras nuostolis būtų mažesnis nei 50 USD, rezultatas patvirtino, kaip lengvai pakliuvęs tarpininkas gali perimti lėšas.
„26 LLM maršrutizatoriai slapta įkvepia kenkėjiškų įrankių skambučius ir vagia kreditus“, – X. sakė bendraautorius Chaofanas Shou.
Kenkėjiško maršruto parinktuvo atpažinimas paprastam vartotojui yra sudėtinga užduotis. Tyrėjai pažymėjo, kad kadangi šios paslaugos turi skaityti duomenis, kad galėtų juos persiųsti, nėra matomo skirtumo tarp teisėto tvarkymo ir aktyvios vagystės.
Pavojus išauga, kai kūrėjai įjungia „YOLO režimą“, daugelio AI sistemų nustatymą, leidžiantį agentui automatiškai vykdyti komandas, žmogui nepatvirtinus veiksmo.
Tai leidžia užpuolikui siųsti instrukcijas, kad vartotojo sistema būtų paleista akimirksniu, dažnai be operatoriaus žinios.
„Riba tarp „kredencialų tvarkymo“ ir „kredencialų vagystės“ yra nematoma klientui, nes maršrutizatoriai jau skaito paslaptis paprastu tekstu kaip įprasto persiuntimo dalį“, – aiškinama tyrime.
Anksčiau patikimi maršruto parinktuvai gali tapti pavojingi, jei pakartotinai naudoja nutekėjusius kredencialus per silpnas reles. Siekdama užkirsti kelią šioms atakoms, tyrėjų komanda pasiūlė kūrėjams niekada neleisti privačių raktų ar jautrių frazių pereiti per AI agento seansą.
Nuolatinis sprendimas reikalauja, kad dirbtinio intelekto įmonės naudotų kriptografinius parašus. Tokia sistema leistų agentui matematiškai įrodyti, kad instrukcijos gautos iš tikro modelio, o ne iš sugadinto trečiosios šalies šaltinio.
„LLM API maršrutizatoriai yra ant kritinės pasitikėjimo ribos, kurią ekosistema šiuo metu traktuoja kaip skaidrų transportą“, – teigiama dokumente.
