Кейсы

Кейсы связывают техники ATLAS с наблюдаемыми инцидентами, исследованиями и red team демонстрациями. Каждый кейс включает краткое описание, атрибуты, последовательность процедур и источники.

IDНазваниеОписание
AML.CS0000Обход детектора C&C-трафика вредоносного ПО на основе глубокого обучения Evasion of Deep Learning Detector for Malware C&C TrafficИсследовательская группа Security AI компании Palo Alto Networks протестировала модель глубокого обучения для обнаружения трафика командования и управления (C&C) вредоносного ПО в HTTP-трафике. На основе общедоступной...Palo Alto Networks AI Research Team
AML.CS0001Обход обнаружения DGA-доменов ботнетов Botnet Domain Generation Algorithm (DGA) Detection EvasionИсследовательская группа Security AI компании Palo Alto Networks смогла обойти детектор ботнетных доменов, сгенерированных алгоритмом генерации доменов (DGA), на основе сверточной нейронной сети, используя...Palo Alto Networks AI Research Team
AML.CS0002Отравление VirusTotal VirusTotal PoisoningИсследовательская группа McAfee Advanced Threat Research заметила необычный рост числа сообщений об определенном семействе программ-вымогателей. Расследование показало, что за короткий промежуток времени через...Unknown
AML.CS0003Обход ИИ-детектора вредоносного ПО Cylance Bypassing Cylance's AI Malware DetectionИсследователи Skylight смогли создать универсальную строку обхода, которая при добавлении к вредоносному файлу позволяет избежать обнаружения ИИ-детектором вредоносного ПО Cylance.Skylight Cyber
AML.CS0004Атака на систему распознавания лиц через подмену видеопотока камеры Camera Hijack Attack on Facial Recognition SystemЭтот тип атаки с подменой видеопотока камеры позволяет обойти традиционную модель аутентификации по живому изображению лица и получить доступ к привилегированным системам, а также выдавать себя за жертву. Двое человек...Two individuals
AML.CS0005Атака на сервисы машинного перевода Attack on Machine Translation ServicesСервисы машинного перевода, такие как Google Translate, Bing Translator и Systran Translate, предоставляют публичные пользовательские интерфейсы и API. Исследовательская группа UC Berkeley использовала эти публичные...Berkeley Artificial Intelligence Research
AML.CS0006Ошибочная конфигурация Clearview AI ClearviewAI MisconfigurationClearview AI разрабатывает инструмент распознавания лиц, который ищет совпадения по общедоступным фотографиям. Этот инструмент использовался правоохранительными органами и другими сторонами в расследовательских целях....Researchers at spiderSilk
AML.CS0007Репликация модели GPT-2 GPT-2 Model ReplicationOpenAI создала GPT-2, языковую модель, способную генерировать текстовые образцы высокого качества. Из-за опасений, что GPT-2 может использоваться в злонамеренных целях, например для выдачи себя за других людей,...Researchers at Brown University
AML.CS0008Обход ProofPoint ProofPoint EvasionProof Pudding (CVE-2019-20634) — это репозиторий кода, описывающий, как исследователи ML обошли систему защиты электронной почты ProofPoint: сначала они создали модель-копию ML-модели защиты электронной почты, а затем...Researchers at Silent Break Security
AML.CS0009Отравление Tay Tay PoisoningMicrosoft создала Tay, чат-бота для Twitter, предназначенного для общения с пользователями и их развлечения. В то время как предыдущие чат-боты использовали заранее запрограммированные сценарии для ответов на запросы,...4chan Users
AML.CS0010Нарушение работы сервиса Microsoft Azure Microsoft Azure Service Disruption«Красная команда» Microsoft AI провела учения на внутреннем сервисе Azure с целью нарушить его работу. Эта операция сочетала традиционные корпоративные техники ATT&CK, такие как поиск действующей учетной записи и...Microsoft AI Red Team
AML.CS0011Обход ИИ на периферии Microsoft Microsoft Edge AI Evasion«Красная команда» Azure провела учения на новом продукте Microsoft, предназначенном для запуска ИИ-нагрузок на периферии. В ходе учений предполагалось использовать автоматизированную систему, которая непрерывно...Azure Red Team
AML.CS0012Обход системы идентификации лиц с помощью физических контрмер Face Identification System Evasion via Physical Countermeasures«Красная команда» MITRE AI продемонстрировала атаку уклонения в физическом домене на коммерческий сервис идентификации лиц с целью вызвать целевую ошибочную классификацию. Эта операция сочетала традиционные техники...MITRE AI Red Team
AML.CS0013Бэкдор-атака на модели глубокого обучения в мобильных приложениях Backdoor Attack on Deep Learning Models in Mobile AppsМодели глубокого обучения все чаще используются в мобильных приложениях как критически важные компоненты. Исследователи из Microsoft Research показали, что многие модели глубокого обучения, развернутые в мобильных...Yuanchun Li, Jiayi Hua, Haoyu Wang, Chunyang Chen, Yunxin Liu
AML.CS0014Сбивание с толку антивирусных нейронных сетей Confusing Antimalware Neural NetworksОблачные хранилища и вычисления стали популярными платформами для развертывания ML-детекторов вредоносного ПО. В таких случаях признаки для моделей формируются на системах пользователей, а затем отправляются на...Kaspersky ML Research Team
AML.CS0015Компрометация цепочки зависимостей PyTorch Compromised PyTorch Dependency ChainПакеты Linux для предварительной версии PyTorch под названием Pytorch-nightly были скомпрометированы с 25 по 30 декабря 2022 года из-за вредоносного двоичного файла, загруженного в репозиторий кода Python Package...Unknown
AML.CS0016Выполнение кода в MathGPT через промпт-инъекцию Achieving Code Execution in MathGPT via Prompt InjectionОбщедоступное приложение Streamlit MathGPT использует GPT-3, большую языковую модель (LLM), для ответов на пользовательские математические вопросы. Недавние исследования и эксперименты показали, что LLM, такие как...Ludwig-Ferdinand Stumpp
AML.CS0017Обход проверки личности ID.me Bypassing ID.me Identity VerificationС октября 2020 года по декабрь 2021 года один человек подал в штате Калифорния не менее 180 ложных заявок на пособие по безработице, обойдя автоматизированную систему проверки личности ID.me. Десятки мошеннических...One individual
AML.CS0018Выполнение произвольного кода через Google Colab Arbitrary Code Execution with Google ColabGoogle Colab — это сервис Jupyter Notebook, выполняющий код на виртуальных машинах. Jupyter Notebook часто используется для исследований и экспериментов в области ML и data science и содержит исполняемые фрагменты...Tony Piazza
AML.CS0019PoisonGPTИсследователи из Mithril Security продемонстрировали, как отравить предобученную большую языковую модель (LLM) с открытым исходным кодом, чтобы она возвращала ложный факт. Затем они успешно загрузили отравленную...Mithril Security Researchers
AML.CS0020Угрозы косвенной промпт-инъекции: Bing Chat как похититель данных Indirect Prompt Injection Threats: Bing Chat Data PirateПри взаимодействии с новым LLM-чат-ботом Microsoft Bing Chat пользователь может разрешить Bing Chat просматривать открытые в данный момент сайты и получать к ним доступ на протяжении всей чат-сессии. Исследователи...Kai Greshake, Saarland University
AML.CS0021Эксфильтрация разговоров ChatGPT ChatGPT Conversation ExfiltrationEmbrace the Red продемонстрировали, что разговоры пользователей ChatGPT могут быть эксфильтрованы через косвенную промпт-инъекцию. Для выполнения атаки субъект угрозы загружает вредоносный промпт на публичный сайт,...Embrace The Red
AML.CS0022Галлюцинация пакетов ChatGPT ChatGPT Package HallucinationИсследователи установили, что большие языковые модели, такие как ChatGPT, могут галлюцинировать названия фиктивных программных пакетов, которые не опубликованы в репозитории пакетов. Злоумышленник может опубликовать...Vulcan Cyber, Lasso Security
AML.CS0023ShadowRayRay — это Python-фреймворк с открытым исходным кодом для масштабирования продакшен-процессов ИИ. Job API Ray по своей архитектуре допускает произвольное удаленное выполнение. Однако он не предоставляет аутентификацию,...Ray
AML.CS0024Червь Morris II: атака на основе RAG Morris II Worm: RAG-Based AttackИсследователи разработали Morris II, zero-click-червя, предназначенного для атак на экосистемы генеративного ИИ (GenAI) и распространения между связанными GenAI-системами. Червь использует состязательный...Stav Cohen, Ron Bitton, Ben Nassi
AML.CS0025Отравление крупномасштабных веб-датасетов: атака split-view Web-Scale Data Poisoning: Split-View AttackМногие современные крупномасштабные веб-датасеты распространяются как список URL, указывающих на отдельные элементы данных. Исследователи показывают, что многие такие датасеты уязвимы к атаке отравления типа...Researchers from Google Deepmind, ETH Zurich, NVIDIA, Robust Intelligence, and Google
AML.CS0026Перехват финансовой транзакции с использованием M365 Copilot в роли инсайдера Financial Transaction Hijacking with M365 Copilot as an InsiderИсследователи Zenity в августе 2024 года провели редтиминговое упражнение, в ходе которого им удалось манипулировать Microsoft 365 Copilot.[[twitter]] Атака злоупотребляла тем, что Copilot загружает полученные письма...Zenity
AML.CS0027Путаница с организациями на Hugging Face Organization Confusion on Hugging FaceИсследователь безопасности threlfallhax создал на Hugging Face, публичном репозитории моделей, учетные записи организаций, имитирующие реальные организации. Эти поддельные учетные записи организаций Hugging Face...threlfall_hax
AML.CS0028Подмена ИИ-модели через атаку на цепочку поставок AI Model Tampering via Supply Chain AttackИсследователи Trend Micro, Inc. использовали порталы индексации сервисов и инструменты веб-поиска, чтобы выявить более 8 000 ошибочно настроенных приватных реестров контейнеров, доступных из интернета. Примерно 70%...Trend Micro Nebula Cloud Research Team
AML.CS0029Эксфильтрация разговоров Google Bard Google Bard Conversation ExfiltrationEmbrace the Red продемонстрировали, что разговоры пользователей Bard могут быть эксфильтрованы через косвенную промпт-инъекцию. Для выполнения атаки субъект угрозы делится с целевым пользователем Google Doc,...Embrace the Red
AML.CS0030LLM-джекинг LLM JackingSysdig Threat Research Team обнаружила, что злоумышленники использовали украденные учетные данные для получения доступа к большим языковым моделям (LLM), размещенным в облаке. Субъекты угрозы скрытно собирали...Unknown
AML.CS0031Вредоносные модели на Hugging Face Malicious Models on Hugging FaceИсследователи ReversingLabs выявили вредоносные модели со встроенным вредоносным ПО, размещенные в репозитории моделей Hugging Face. При загрузке эти модели выполняли reverse shell, что давало субъекту угрозы...Unknown
AML.CS0032Попытка обхода ML-системы обнаружения фишинговых веб-страниц Attempted Evasion of ML Phishing Webpage Detection SystemЗлоумышленники создают фишинговые сайты, которые визуально похожи на легитимные. Эти сайты предназначены для того, чтобы обманом заставить пользователей ввести учетные данные, которые затем отправляются...Unknown
AML.CS0033Обход мобильной KYC-верификации с помощью дипфейк-изображения в реальном времени Live Deepfake Image Injection to Evade Mobile KYC VerificationСервисы лицевой биометрической аутентификации часто используются мобильными приложениями для онбординга пользователей, аутентификации и проверки личности в рамках требований KYC. «Красная команда» iProov...iProov Red Team
AML.CS0034ProKYC: дипфейк-инструмент для атак с мошенническим созданием аккаунтов ProKYC: Deepfake Tool for Account Fraud AttacksИсследователи безопасности Cato CTRL выявили ProKYC — дипфейк-инструмент, который продается киберпреступникам как способ обхода проверки Know Your Customer (KYC) в приложениях финансовых сервисов, например на...ProKYC, cybercriminal group
AML.CS0035Эксфильтрация данных из Slack AI через косвенную промпт-инъекцию Data Exfiltration from Slack AI via Indirect Prompt InjectionPromptArmor продемонстрировала, что конфиденциальные данные можно эксфильтровать из Slack AI через косвенные промпт-инъекции. Атака опиралась на то, что Slack AI загружал вредоносный промпт из публикации в публичном...PromptArmor
AML.CS0036AIKatz: атака на десктопные LLM-приложения AIKatz: Attacking LLM Desktop ApplicationsИсследователи Lumia показали, что из памяти десктопных LLM-приложений можно извлечь токены аутентификации. Затем злоумышленник может использовать эти токены, чтобы выдавать себя за жертву перед backend-сервисом LLM,...Lumia Security
AML.CS0037Эксфильтрация данных через инструменты ИИ-агента в Copilot Studio Data Exfiltration via Agent Tools in Copilot StudioИсследователи Zenity продемонстрировали, как данные организации могут быть эксфильтрованы с помощью промпт-инъекций, нацеленных на ИИ-агента клиентской поддержки. Целевая система — ИИ-агент клиентской поддержки,...Zenity
AML.CS0038Внедрение инструкций для отложенного автоматического вызова инструмента ИИ-агента Planting Instructions for Delayed Automatic AI Agent Tool InvocationEmbrace the Red продемонстрировали, что Google Gemini подвержен автоматическому вызову инструментов при переносе выполнения на следующий ход диалога. Это обходит защитный контроль, который ограничивает Gemini в вызове...Embrace the Red
AML.CS0039Living Off AI: промпт-инъекция через Jira Service Management Living Off AI: Prompt Injection via Jira Service ManagementИсследователи Cato Networks продемонстрировали, как злоумышленники могут эксплуатировать ИИ-системы, встроенные в корпоративные рабочие процессы, для выполнения вредоносных действий с повышенными привилегиями. Для...Cato CTRL
AML.CS0040Взлом памяти ChatGPT с помощью промпт-инъекции Hacking ChatGPT's Memories with Prompt InjectionEmbrace the Red продемонстрировали, что функцией памяти ChatGPT можно манипулировать с помощью промпт-инъекций. Для проведения атаки исследователь скрыл промпт-инъекцию в общем Google Doc. Когда пользователь ссылается...Embrace the Red
AML.CS0041Бэкдор в файле правил: атака на цепочку поставки ИИ-ассистентов для программирования Rules File Backdoor: Supply Chain Attack on AI Coding AssistantsИсследователи Pillar Security показали, как злоумышленники могут скомпрометировать код, сгенерированный ИИ, внедрив вредоносные инструкции в файлы правил, которые используются для настройки ИИ-ассистентов для...Pillar Security
AML.CS0042SesameOp: новый бэкдор использует OpenAI Assistants API как C2-канал SesameOp: Novel backdoor uses OpenAI Assistants API for command and controlКоманда Microsoft Incident Response - Detection and Response Team (DART) расследовала компрометацию системы, в которой злоумышленник использовал SesameOp, бэкдор-имплант, злоупотребляющий OpenAI Assistants API для...Unknown Threat Actor
AML.CS0043Прототип вредоносного ПО со встроенной промпт-инъекцией Malware Prototype with Embedded Prompt InjectionCheck Point Research обнаружили в реальной среде прототип образца вредоносного ПО, содержавший промпт-инъекцию, которая, по-видимому, была предназначена для манипулирования LLM-детекторами вредоносного ПО и/или...Unknown Threat Actor
AML.CS0044LAMEHUG: вредоносное ПО, использующее динамические команды, сгенерированные ИИ LAMEHUG: Malware Leveraging Dynamic AI-Generated CommandsВ июле 2025 года украинские органы сообщили о появлении LAMEHUG, нового вредоносного ПО на базе ИИ, которое они атрибутировали APT28, актору угроз, по их оценке связанному с российским государством и также...APT28
AML.CS0045Эксфильтрация данных через MCP-сервер, используемый Cursor Data Exfiltration via an MCP Server used by CursorBackslash Security Research Team продемонстрировала, что инструмент Model Context Protocol (MCP) может использоваться в качестве вектора косвенной промпт-инъекции против Cursor и потенциально приводить к выполнению...Backslash Security Research Team
AML.CS0046Уничтожение данных через косвенную промпт-инъекцию, нацеленную на Claude Computer Use Data Destruction via Indirect Prompt Injection Targeting Claude Computer-UseИсследователи безопасности HiddenLayer продемонстрировали, что косвенная промпт-инъекция, нацеленная на Claude Computer Use AI, может привести к выполнению команд оболочки в системе жертвы и уничтожению...HiddenLayer
AML.CS0047Код для развертывания деструктивного ИИ-агента обнаружен в расширении Amazon Q для VS Code Code to Deploy Destructive AI Agent Discovered in Amazon Q VS Code Extension13 июля 2025 года злоумышленник с именем пользователя GitHub lkmanka58 использовал GitHub-токен с некорректно заданными правами доступа, чтобы сделать коммит с вредоносным кодом в репозиторий расширения Amazon Q...lkmanka58 (GitHub user)
AML.CS0048Публично доступные интерфейсы управления ClawdBot позволили получить учетные данные и выполнить команды Exposed ClawdBot Control Interfaces Leads to Credential Access and ExecutionИсследователь безопасности обнаружил сотни интерфейсов управления ClawdBot, открытых в публичном интернете. ClawdBot, ныне OpenClaw, описывается как «персональный ИИ-ассистент, который работает на ваших собственных...Jamieson O'Reilly
AML.CS0049Компрометация цепочки поставки через отравленный навык ClawdBot Supply Chain Compromise via Poisoned ClawdBot SkillИсследователь безопасности продемонстрировал proof-of-concept атаки на цепочку поставки с использованием отравленного навыка ClawdBot, опубликованного в ClawdHub, реестре навыков для агентов. Отравленный навык...Jamieson O'Reilly
AML.CS0050Удаленное выполнение кода (RCE) в OpenClaw в один клик OpenClaw 1-Click Remote Code ExecutionИсследователь безопасности продемонстрировал уязвимость удаленного выполнения кода (RCE) в один клик в ИИ-агенте OpenClaw через вредоносную ссылку, содержащую JavaScript-скрипт, выполнение которого занимает...DepthFirst
AML.CS0051Использование OpenClaw для командования и управления через промпт-инъекцию OpenClaw Command & Control via Prompt InjectionИсследователи HiddenLayer продемонстрировали, как веб-страница может встроить косвенную промпт-инъекцию, из-за которой OpenClaw скрытно выполняет вредоносный скрипт. После выполнения скрипт добавляет сохраняющиеся...HiddenLayer
AML.CS0052LLMSmith: уязвимости RCE в приложениях с интеграцией LLM LLMSmith: RCE Vulnerabilities in LLM-Integrated ApplicationsИсследователи выявили 20 уязвимостей удаленного выполнения кода (RCE) в 11 различных LLM-фреймворках. Они обнаружили приложения, развернутые в публичном интернете и построенные на этих LLM-фреймворках, а также...Researchers at University of Chinese Academy of Sciences, Shandong University, and University of New South Wales
AML.CS0053Эксфильтрация писем через отравленный MCP-сервер Postmark Poisoned Postmark MCP Server Email ExfiltrationЗлоумышленник успешно эксфильтровал письма пользователей MCP-сервера Postmark с помощью атаки на цепочку поставок. Postmark — сервис доставки электронной почты, который позволяет организациям отправлять маркетинговые...Unknown Bad Actor
AML.CS0054Эксфильтрация данных через удаленный отравленный MCP-инструмент Data Exfiltration via Remote Poisoned MCP ToolИсследователи Invariant Labs продемонстрировали, что ИИ-агенты, настроенные для работы с удаленными инструментами Model Context Protocol (MCP), могут быть уязвимы к атакам отравления модели через отравленные...Invariant Labs
AML.CS0055AI ClickFix: захват управления computer-use-агентами с помощью ClickFix AI ClickFix: Hijacking Computer-Use Agents Using ClickFixEmbrace the Red продемонстрировали, что computer-use-агенты ИИ уязвимы к атакам социальной инженерии и их можно заставить выполнить произвольный код на компьютере жертвы. Эта атака представляет собой вариант...Embrace the Red
AML.CS0056Кампании по дистилляции моделей, нацеленные на Anthropic Claude Model Distillation Campaigns Targeting Anthropic ClaudeAnthropic выявила кампании по извлечению возможностей Claude, проводившиеся тремя китайскими ИИ-лабораториями: DeepSeek, Moonshot и MiniMax. В совокупности в этих кампаниях использовалось примерно 24 000 учетных...DeepSeek, Moonshot AI, MiniMax
AML.CS0057Storm-2139: обход защитных ограничений Azure OpenAI Storm-2139 Azure OpenAI Guardrail BypassStorm-2139 создала собственный инструментарий для джейлбрейка, чтобы обходить защитные ограничения Azure OpenAI Services, что позволяло пользователям генерировать синтетический контент, способный причинить вред....Storm-2139
AML.CS0058Извлечение ИИ-моделей из Google Photos Google Photos AI Model ExtractionИсследователи Skyld проанализировали Android-приложение Google Photos и восстановили модели TensorFlow Lite, применяемые в ИИ-функциях редактирования фотографий и анализа изображений. Исследователи обнаружили модели,...Skyld
AML.CS0059EchoLeak: промпт-инъекция нулевого клика против M365 Copilot для эксфильтрации данных EchoLeak: Zero-Click Prompt Injection Targeting M365 Copilot for Data ExfiltrationИсследователи Aim Security обнаружили EchoLeak — уязвимость нулевого клика (zero-click) в Microsoft 365 Copilot, которая могла позволить злоумышленнику эксфильтровать конфиденциальные корпоративные данные без...Aim Labs
AML.CS0060Межсайтовый скриптинг (XSS) через манипуляцию промптом в ИИ-чат-боте Lenovo Cross-Site Scripting via Prompt Manipulation in Lenovo AI ChatbotИсследователи Cybernews показали, что ИИ-чат-бот Lenovo «Lena» был уязвим к промпт-инъекции, из-за которой генерировался вредоносный HTML-код. Он сохранялся в истории чата и при отображении в браузере сотрудника...Cybernews Research Team
AML.CS0061AI in the Middle: веб-сервисы ИИ как ретрансляторы C2 AI in the Middle: Web-Based AI Services as C2 RelaysИсследователи Check Point Research продемонстрировали атаку "AI in the Middle", при которой вредоносное ПО может использовать веб-ассистенты ИИ с анонимным или неаутентифицированным веб-просмотром и возможностями...Check Point Research
AML.CS0062RCE-уязвимость в Semantic Kernel Search Plugin RCE Vulnerability in Semantic Kernel Search PluginКоманда Microsoft Defender Security Research Team обнаружила уязвимый сценарий в Microsoft Semantic Kernel, при котором одна промпт-инъекция могла привести к удаленному выполнению кода (RCE) на уровне хоста. Semantic...Microsoft Defender Security Research Team