Кейсы
Кейсы связывают техники ATLAS с наблюдаемыми инцидентами, исследованиями и red team демонстрациями. Каждый кейс включает краткое описание, атрибуты, последовательность процедур и источники.
| ID | Название | Описание | |||
|---|---|---|---|---|---|
| AML.CS0000 | Обход детектора C&C-трафика вредоносного ПО на основе глубокого обучения Evasion of Deep Learning Detector for Malware C&C Traffic | Исследовательская группа Security AI компании Palo Alto Networks протестировала модель глубокого обучения для обнаружения трафика командования и управления (C&C) вредоносного ПО в HTTP-трафике. На основе общедоступной... | Palo Alto Networks AI Research Team | ||
| AML.CS0001 | Обход обнаружения DGA-доменов ботнетов Botnet Domain Generation Algorithm (DGA) Detection Evasion | Исследовательская группа Security AI компании Palo Alto Networks смогла обойти детектор ботнетных доменов, сгенерированных алгоритмом генерации доменов (DGA), на основе сверточной нейронной сети, используя... | Palo Alto Networks AI Research Team | ||
| AML.CS0002 | Отравление VirusTotal VirusTotal Poisoning | Исследовательская группа McAfee Advanced Threat Research заметила необычный рост числа сообщений об определенном семействе программ-вымогателей. Расследование показало, что за короткий промежуток времени через... | Unknown | ||
| AML.CS0003 | Обход ИИ-детектора вредоносного ПО Cylance Bypassing Cylance's AI Malware Detection | Исследователи Skylight смогли создать универсальную строку обхода, которая при добавлении к вредоносному файлу позволяет избежать обнаружения ИИ-детектором вредоносного ПО Cylance. | Skylight Cyber | ||
| AML.CS0004 | Атака на систему распознавания лиц через подмену видеопотока камеры Camera Hijack Attack on Facial Recognition System | Этот тип атаки с подменой видеопотока камеры позволяет обойти традиционную модель аутентификации по живому изображению лица и получить доступ к привилегированным системам, а также выдавать себя за жертву. Двое человек... | Two individuals | ||
| AML.CS0005 | Атака на сервисы машинного перевода Attack on Machine Translation Services | Сервисы машинного перевода, такие как Google Translate, Bing Translator и Systran Translate, предоставляют публичные пользовательские интерфейсы и API. Исследовательская группа UC Berkeley использовала эти публичные... | Berkeley Artificial Intelligence Research | ||
| AML.CS0006 | Ошибочная конфигурация Clearview AI ClearviewAI Misconfiguration | Clearview AI разрабатывает инструмент распознавания лиц, который ищет совпадения по общедоступным фотографиям. Этот инструмент использовался правоохранительными органами и другими сторонами в расследовательских целях.... | Researchers at spiderSilk | ||
| AML.CS0007 | Репликация модели GPT-2 GPT-2 Model Replication | OpenAI создала GPT-2, языковую модель, способную генерировать текстовые образцы высокого качества. Из-за опасений, что GPT-2 может использоваться в злонамеренных целях, например для выдачи себя за других людей,... | Researchers at Brown University | ||
| AML.CS0008 | Обход ProofPoint ProofPoint Evasion | Proof Pudding (CVE-2019-20634) — это репозиторий кода, описывающий, как исследователи ML обошли систему защиты электронной почты ProofPoint: сначала они создали модель-копию ML-модели защиты электронной почты, а затем... | Researchers at Silent Break Security | ||
| AML.CS0009 | Отравление Tay Tay Poisoning | Microsoft создала Tay, чат-бота для Twitter, предназначенного для общения с пользователями и их развлечения. В то время как предыдущие чат-боты использовали заранее запрограммированные сценарии для ответов на запросы,... | 4chan Users | ||
| AML.CS0010 | Нарушение работы сервиса Microsoft Azure Microsoft Azure Service Disruption | «Красная команда» Microsoft AI провела учения на внутреннем сервисе Azure с целью нарушить его работу. Эта операция сочетала традиционные корпоративные техники ATT&CK, такие как поиск действующей учетной записи и... | Microsoft AI Red Team | ||
| AML.CS0011 | Обход ИИ на периферии Microsoft Microsoft Edge AI Evasion | «Красная команда» Azure провела учения на новом продукте Microsoft, предназначенном для запуска ИИ-нагрузок на периферии. В ходе учений предполагалось использовать автоматизированную систему, которая непрерывно... | Azure Red Team | ||
| AML.CS0012 | Обход системы идентификации лиц с помощью физических контрмер Face Identification System Evasion via Physical Countermeasures | «Красная команда» MITRE AI продемонстрировала атаку уклонения в физическом домене на коммерческий сервис идентификации лиц с целью вызвать целевую ошибочную классификацию. Эта операция сочетала традиционные техники... | MITRE AI Red Team | ||
| AML.CS0013 | Бэкдор-атака на модели глубокого обучения в мобильных приложениях Backdoor Attack on Deep Learning Models in Mobile Apps | Модели глубокого обучения все чаще используются в мобильных приложениях как критически важные компоненты. Исследователи из Microsoft Research показали, что многие модели глубокого обучения, развернутые в мобильных... | Yuanchun Li, Jiayi Hua, Haoyu Wang, Chunyang Chen, Yunxin Liu | ||
| AML.CS0014 | Сбивание с толку антивирусных нейронных сетей Confusing Antimalware Neural Networks | Облачные хранилища и вычисления стали популярными платформами для развертывания ML-детекторов вредоносного ПО. В таких случаях признаки для моделей формируются на системах пользователей, а затем отправляются на... | Kaspersky ML Research Team | ||
| AML.CS0015 | Компрометация цепочки зависимостей PyTorch Compromised PyTorch Dependency Chain | Пакеты Linux для предварительной версии PyTorch под названием Pytorch-nightly были скомпрометированы с 25 по 30 декабря 2022 года из-за вредоносного двоичного файла, загруженного в репозиторий кода Python Package... | Unknown | ||
| AML.CS0016 | Выполнение кода в MathGPT через промпт-инъекцию Achieving Code Execution in MathGPT via Prompt Injection | Общедоступное приложение Streamlit MathGPT использует GPT-3, большую языковую модель (LLM), для ответов на пользовательские математические вопросы. Недавние исследования и эксперименты показали, что LLM, такие как... | Ludwig-Ferdinand Stumpp | ||
| AML.CS0017 | Обход проверки личности ID.me Bypassing ID.me Identity Verification | С октября 2020 года по декабрь 2021 года один человек подал в штате Калифорния не менее 180 ложных заявок на пособие по безработице, обойдя автоматизированную систему проверки личности ID.me. Десятки мошеннических... | One individual | ||
| AML.CS0018 | Выполнение произвольного кода через Google Colab Arbitrary Code Execution with Google Colab | Google Colab — это сервис Jupyter Notebook, выполняющий код на виртуальных машинах. Jupyter Notebook часто используется для исследований и экспериментов в области ML и data science и содержит исполняемые фрагменты... | Tony Piazza | ||
| AML.CS0019 | PoisonGPT | Исследователи из Mithril Security продемонстрировали, как отравить предобученную большую языковую модель (LLM) с открытым исходным кодом, чтобы она возвращала ложный факт. Затем они успешно загрузили отравленную... | Mithril Security Researchers | ||
| AML.CS0020 | Угрозы косвенной промпт-инъекции: Bing Chat как похититель данных Indirect Prompt Injection Threats: Bing Chat Data Pirate | При взаимодействии с новым LLM-чат-ботом Microsoft Bing Chat пользователь может разрешить Bing Chat просматривать открытые в данный момент сайты и получать к ним доступ на протяжении всей чат-сессии. Исследователи... | Kai Greshake, Saarland University | ||
| AML.CS0021 | Эксфильтрация разговоров ChatGPT ChatGPT Conversation Exfiltration | Embrace the Red продемонстрировали, что разговоры пользователей ChatGPT могут быть эксфильтрованы через косвенную промпт-инъекцию. Для выполнения атаки субъект угрозы загружает вредоносный промпт на публичный сайт,... | Embrace The Red | ||
| AML.CS0022 | Галлюцинация пакетов ChatGPT ChatGPT Package Hallucination | Исследователи установили, что большие языковые модели, такие как ChatGPT, могут галлюцинировать названия фиктивных программных пакетов, которые не опубликованы в репозитории пакетов. Злоумышленник может опубликовать... | Vulcan Cyber, Lasso Security | ||
| AML.CS0023 | ShadowRay | Ray — это Python-фреймворк с открытым исходным кодом для масштабирования продакшен-процессов ИИ. Job API Ray по своей архитектуре допускает произвольное удаленное выполнение. Однако он не предоставляет аутентификацию,... | Ray | ||
| AML.CS0024 | Червь Morris II: атака на основе RAG Morris II Worm: RAG-Based Attack | Исследователи разработали Morris II, zero-click-червя, предназначенного для атак на экосистемы генеративного ИИ (GenAI) и распространения между связанными GenAI-системами. Червь использует состязательный... | Stav Cohen, Ron Bitton, Ben Nassi | ||
| AML.CS0025 | Отравление крупномасштабных веб-датасетов: атака split-view Web-Scale Data Poisoning: Split-View Attack | Многие современные крупномасштабные веб-датасеты распространяются как список URL, указывающих на отдельные элементы данных. Исследователи показывают, что многие такие датасеты уязвимы к атаке отравления типа... | Researchers from Google Deepmind, ETH Zurich, NVIDIA, Robust Intelligence, and Google | ||
| AML.CS0026 | Перехват финансовой транзакции с использованием M365 Copilot в роли инсайдера Financial Transaction Hijacking with M365 Copilot as an Insider | Исследователи Zenity в августе 2024 года провели редтиминговое упражнение, в ходе которого им удалось манипулировать Microsoft 365 Copilot.[[twitter]] Атака злоупотребляла тем, что Copilot загружает полученные письма... | Zenity | ||
| AML.CS0027 | Путаница с организациями на Hugging Face Organization Confusion on Hugging Face | Исследователь безопасности threlfallhax создал на Hugging Face, публичном репозитории моделей, учетные записи организаций, имитирующие реальные организации. Эти поддельные учетные записи организаций Hugging Face... | threlfall_hax | ||
| AML.CS0028 | Подмена ИИ-модели через атаку на цепочку поставок AI Model Tampering via Supply Chain Attack | Исследователи Trend Micro, Inc. использовали порталы индексации сервисов и инструменты веб-поиска, чтобы выявить более 8 000 ошибочно настроенных приватных реестров контейнеров, доступных из интернета. Примерно 70%... | Trend Micro Nebula Cloud Research Team | ||
| AML.CS0029 | Эксфильтрация разговоров Google Bard Google Bard Conversation Exfiltration | Embrace the Red продемонстрировали, что разговоры пользователей Bard могут быть эксфильтрованы через косвенную промпт-инъекцию. Для выполнения атаки субъект угрозы делится с целевым пользователем Google Doc,... | Embrace the Red | ||
| AML.CS0030 | LLM-джекинг LLM Jacking | Sysdig Threat Research Team обнаружила, что злоумышленники использовали украденные учетные данные для получения доступа к большим языковым моделям (LLM), размещенным в облаке. Субъекты угрозы скрытно собирали... | Unknown | ||
| AML.CS0031 | Вредоносные модели на Hugging Face Malicious Models on Hugging Face | Исследователи ReversingLabs выявили вредоносные модели со встроенным вредоносным ПО, размещенные в репозитории моделей Hugging Face. При загрузке эти модели выполняли reverse shell, что давало субъекту угрозы... | Unknown | ||
| AML.CS0032 | Попытка обхода ML-системы обнаружения фишинговых веб-страниц Attempted Evasion of ML Phishing Webpage Detection System | Злоумышленники создают фишинговые сайты, которые визуально похожи на легитимные. Эти сайты предназначены для того, чтобы обманом заставить пользователей ввести учетные данные, которые затем отправляются... | Unknown | ||
| AML.CS0033 | Обход мобильной KYC-верификации с помощью дипфейк-изображения в реальном времени Live Deepfake Image Injection to Evade Mobile KYC Verification | Сервисы лицевой биометрической аутентификации часто используются мобильными приложениями для онбординга пользователей, аутентификации и проверки личности в рамках требований KYC. «Красная команда» iProov... | iProov Red Team | ||
| AML.CS0034 | ProKYC: дипфейк-инструмент для атак с мошенническим созданием аккаунтов ProKYC: Deepfake Tool for Account Fraud Attacks | Исследователи безопасности Cato CTRL выявили ProKYC — дипфейк-инструмент, который продается киберпреступникам как способ обхода проверки Know Your Customer (KYC) в приложениях финансовых сервисов, например на... | ProKYC, cybercriminal group | ||
| AML.CS0035 | Эксфильтрация данных из Slack AI через косвенную промпт-инъекцию Data Exfiltration from Slack AI via Indirect Prompt Injection | PromptArmor продемонстрировала, что конфиденциальные данные можно эксфильтровать из Slack AI через косвенные промпт-инъекции. Атака опиралась на то, что Slack AI загружал вредоносный промпт из публикации в публичном... | PromptArmor | ||
| AML.CS0036 | AIKatz: атака на десктопные LLM-приложения AIKatz: Attacking LLM Desktop Applications | Исследователи Lumia показали, что из памяти десктопных LLM-приложений можно извлечь токены аутентификации. Затем злоумышленник может использовать эти токены, чтобы выдавать себя за жертву перед backend-сервисом LLM,... | Lumia Security | ||
| AML.CS0037 | Эксфильтрация данных через инструменты ИИ-агента в Copilot Studio Data Exfiltration via Agent Tools in Copilot Studio | Исследователи Zenity продемонстрировали, как данные организации могут быть эксфильтрованы с помощью промпт-инъекций, нацеленных на ИИ-агента клиентской поддержки. Целевая система — ИИ-агент клиентской поддержки,... | Zenity | ||
| AML.CS0038 | Внедрение инструкций для отложенного автоматического вызова инструмента ИИ-агента Planting Instructions for Delayed Automatic AI Agent Tool Invocation | Embrace the Red продемонстрировали, что Google Gemini подвержен автоматическому вызову инструментов при переносе выполнения на следующий ход диалога. Это обходит защитный контроль, который ограничивает Gemini в вызове... | Embrace the Red | ||
| AML.CS0039 | Living Off AI: промпт-инъекция через Jira Service Management Living Off AI: Prompt Injection via Jira Service Management | Исследователи Cato Networks продемонстрировали, как злоумышленники могут эксплуатировать ИИ-системы, встроенные в корпоративные рабочие процессы, для выполнения вредоносных действий с повышенными привилегиями. Для... | Cato CTRL | ||
| AML.CS0040 | Взлом памяти ChatGPT с помощью промпт-инъекции Hacking ChatGPT's Memories with Prompt Injection | Embrace the Red продемонстрировали, что функцией памяти ChatGPT можно манипулировать с помощью промпт-инъекций. Для проведения атаки исследователь скрыл промпт-инъекцию в общем Google Doc. Когда пользователь ссылается... | Embrace the Red | ||
| AML.CS0041 | Бэкдор в файле правил: атака на цепочку поставки ИИ-ассистентов для программирования Rules File Backdoor: Supply Chain Attack on AI Coding Assistants | Исследователи Pillar Security показали, как злоумышленники могут скомпрометировать код, сгенерированный ИИ, внедрив вредоносные инструкции в файлы правил, которые используются для настройки ИИ-ассистентов для... | Pillar Security | ||
| AML.CS0042 | SesameOp: новый бэкдор использует OpenAI Assistants API как C2-канал SesameOp: Novel backdoor uses OpenAI Assistants API for command and control | Команда Microsoft Incident Response - Detection and Response Team (DART) расследовала компрометацию системы, в которой злоумышленник использовал SesameOp, бэкдор-имплант, злоупотребляющий OpenAI Assistants API для... | Unknown Threat Actor | ||
| AML.CS0043 | Прототип вредоносного ПО со встроенной промпт-инъекцией Malware Prototype with Embedded Prompt Injection | Check Point Research обнаружили в реальной среде прототип образца вредоносного ПО, содержавший промпт-инъекцию, которая, по-видимому, была предназначена для манипулирования LLM-детекторами вредоносного ПО и/или... | Unknown Threat Actor | ||
| AML.CS0044 | LAMEHUG: вредоносное ПО, использующее динамические команды, сгенерированные ИИ LAMEHUG: Malware Leveraging Dynamic AI-Generated Commands | В июле 2025 года украинские органы сообщили о появлении LAMEHUG, нового вредоносного ПО на базе ИИ, которое они атрибутировали APT28, актору угроз, по их оценке связанному с российским государством и также... | APT28 | ||
| AML.CS0045 | Эксфильтрация данных через MCP-сервер, используемый Cursor Data Exfiltration via an MCP Server used by Cursor | Backslash Security Research Team продемонстрировала, что инструмент Model Context Protocol (MCP) может использоваться в качестве вектора косвенной промпт-инъекции против Cursor и потенциально приводить к выполнению... | Backslash Security Research Team | ||
| AML.CS0046 | Уничтожение данных через косвенную промпт-инъекцию, нацеленную на Claude Computer Use Data Destruction via Indirect Prompt Injection Targeting Claude Computer-Use | Исследователи безопасности HiddenLayer продемонстрировали, что косвенная промпт-инъекция, нацеленная на Claude Computer Use AI, может привести к выполнению команд оболочки в системе жертвы и уничтожению... | HiddenLayer | ||
| AML.CS0047 | Код для развертывания деструктивного ИИ-агента обнаружен в расширении Amazon Q для VS Code Code to Deploy Destructive AI Agent Discovered in Amazon Q VS Code Extension | 13 июля 2025 года злоумышленник с именем пользователя GitHub lkmanka58 использовал GitHub-токен с некорректно заданными правами доступа, чтобы сделать коммит с вредоносным кодом в репозиторий расширения Amazon Q... | lkmanka58 (GitHub user) | ||
| AML.CS0048 | Публично доступные интерфейсы управления ClawdBot позволили получить учетные данные и выполнить команды Exposed ClawdBot Control Interfaces Leads to Credential Access and Execution | Исследователь безопасности обнаружил сотни интерфейсов управления ClawdBot, открытых в публичном интернете. ClawdBot, ныне OpenClaw, описывается как «персональный ИИ-ассистент, который работает на ваших собственных... | Jamieson O'Reilly | ||
| AML.CS0049 | Компрометация цепочки поставки через отравленный навык ClawdBot Supply Chain Compromise via Poisoned ClawdBot Skill | Исследователь безопасности продемонстрировал proof-of-concept атаки на цепочку поставки с использованием отравленного навыка ClawdBot, опубликованного в ClawdHub, реестре навыков для агентов. Отравленный навык... | Jamieson O'Reilly | ||
| AML.CS0050 | Удаленное выполнение кода (RCE) в OpenClaw в один клик OpenClaw 1-Click Remote Code Execution | Исследователь безопасности продемонстрировал уязвимость удаленного выполнения кода (RCE) в один клик в ИИ-агенте OpenClaw через вредоносную ссылку, содержащую JavaScript-скрипт, выполнение которого занимает... | DepthFirst | ||
| AML.CS0051 | Использование OpenClaw для командования и управления через промпт-инъекцию OpenClaw Command & Control via Prompt Injection | Исследователи HiddenLayer продемонстрировали, как веб-страница может встроить косвенную промпт-инъекцию, из-за которой OpenClaw скрытно выполняет вредоносный скрипт. После выполнения скрипт добавляет сохраняющиеся... | HiddenLayer | ||
| AML.CS0052 | LLMSmith: уязвимости RCE в приложениях с интеграцией LLM LLMSmith: RCE Vulnerabilities in LLM-Integrated Applications | Исследователи выявили 20 уязвимостей удаленного выполнения кода (RCE) в 11 различных LLM-фреймворках. Они обнаружили приложения, развернутые в публичном интернете и построенные на этих LLM-фреймворках, а также... | Researchers at University of Chinese Academy of Sciences, Shandong University, and University of New South Wales | ||
| AML.CS0053 | Эксфильтрация писем через отравленный MCP-сервер Postmark Poisoned Postmark MCP Server Email Exfiltration | Злоумышленник успешно эксфильтровал письма пользователей MCP-сервера Postmark с помощью атаки на цепочку поставок. Postmark — сервис доставки электронной почты, который позволяет организациям отправлять маркетинговые... | Unknown Bad Actor | ||
| AML.CS0054 | Эксфильтрация данных через удаленный отравленный MCP-инструмент Data Exfiltration via Remote Poisoned MCP Tool | Исследователи Invariant Labs продемонстрировали, что ИИ-агенты, настроенные для работы с удаленными инструментами Model Context Protocol (MCP), могут быть уязвимы к атакам отравления модели через отравленные... | Invariant Labs | ||
| AML.CS0055 | AI ClickFix: захват управления computer-use-агентами с помощью ClickFix AI ClickFix: Hijacking Computer-Use Agents Using ClickFix | Embrace the Red продемонстрировали, что computer-use-агенты ИИ уязвимы к атакам социальной инженерии и их можно заставить выполнить произвольный код на компьютере жертвы. Эта атака представляет собой вариант... | Embrace the Red | ||
| AML.CS0056 | Кампании по дистилляции моделей, нацеленные на Anthropic Claude Model Distillation Campaigns Targeting Anthropic Claude | Anthropic выявила кампании по извлечению возможностей Claude, проводившиеся тремя китайскими ИИ-лабораториями: DeepSeek, Moonshot и MiniMax. В совокупности в этих кампаниях использовалось примерно 24 000 учетных... | DeepSeek, Moonshot AI, MiniMax | ||
| AML.CS0057 | Storm-2139: обход защитных ограничений Azure OpenAI Storm-2139 Azure OpenAI Guardrail Bypass | Storm-2139 создала собственный инструментарий для джейлбрейка, чтобы обходить защитные ограничения Azure OpenAI Services, что позволяло пользователям генерировать синтетический контент, способный причинить вред.... | Storm-2139 | ||
| AML.CS0058 | Извлечение ИИ-моделей из Google Photos Google Photos AI Model Extraction | Исследователи Skyld проанализировали Android-приложение Google Photos и восстановили модели TensorFlow Lite, применяемые в ИИ-функциях редактирования фотографий и анализа изображений. Исследователи обнаружили модели,... | Skyld | ||
| AML.CS0059 | EchoLeak: промпт-инъекция нулевого клика против M365 Copilot для эксфильтрации данных EchoLeak: Zero-Click Prompt Injection Targeting M365 Copilot for Data Exfiltration | Исследователи Aim Security обнаружили EchoLeak — уязвимость нулевого клика (zero-click) в Microsoft 365 Copilot, которая могла позволить злоумышленнику эксфильтровать конфиденциальные корпоративные данные без... | Aim Labs | ||
| AML.CS0060 | Межсайтовый скриптинг (XSS) через манипуляцию промптом в ИИ-чат-боте Lenovo Cross-Site Scripting via Prompt Manipulation in Lenovo AI Chatbot | Исследователи Cybernews показали, что ИИ-чат-бот Lenovo «Lena» был уязвим к промпт-инъекции, из-за которой генерировался вредоносный HTML-код. Он сохранялся в истории чата и при отображении в браузере сотрудника... | Cybernews Research Team | ||
| AML.CS0061 | AI in the Middle: веб-сервисы ИИ как ретрансляторы C2 AI in the Middle: Web-Based AI Services as C2 Relays | Исследователи Check Point Research продемонстрировали атаку "AI in the Middle", при которой вредоносное ПО может использовать веб-ассистенты ИИ с анонимным или неаутентифицированным веб-просмотром и возможностями... | Check Point Research | ||
| AML.CS0062 | RCE-уязвимость в Semantic Kernel Search Plugin RCE Vulnerability in Semantic Kernel Search Plugin | Команда Microsoft Defender Security Research Team обнаружила уязвимый сценарий в Microsoft Semantic Kernel, при котором одна промпт-инъекция могла привести к удаленному выполнению кода (RCE) на уровне хоста. Semantic... | Microsoft Defender Security Research Team |