Living Off AI: промпт-инъекция через Jira Service Management

Оригинал: Living Off AI: Prompt Injection via Jira Service Management

Исследователи Cato Networks продемонстрировали, как злоумышленники могут эксплуатировать ИИ-системы, встроенные в корпоративные рабочие процессы, для выполнения вредоносных действий с повышенными привилегиями. Для этого создаются вредоносные входные данные от внешних пользователей, например обращения в службу поддержки, которые позднее обрабатываются внутренними пользователями или автоматизированными системами с использованием ИИ-агентов. Эти ИИ-агенты, работающие во внутреннем контексте и с внутренним доверием, могут интерпретировать и выполнить вредоносные инструкции, что приводит к несанкционированным действиям, таким как эксфильтрация данных, повышение привилегий или манипулирование системой.

Процедура

  1. AML.TA0002 Разведка

    AML.T0003 Поиск на сайтах организации-жертвы

    Исследователи провели разведку, чтобы узнать о сервере Model Context Protocol (MCP) Atlassian и его интеграции с платформой Jira Service Management (JSM). Atlassian предлагает MCP-сервер, который встраивает ИИ в корпоративные рабочие процессы. MCP Atlassian поддерживает ряд действий на основе ИИ, включая суммаризацию обращений, автоматические ответы, классификацию и интеллектуальные рекомендации в JSM и Confluence. Он позволяет инженерам поддержки и внутренним пользователям взаимодействовать с ИИ прямо из привычных интерфейсов.
  2. AML.TA0002 Разведка

    AML.T0095 Поиск на открытых сайтах и доменах

    Исследователи использовали поисковый запрос site:atlassian.net/servicedesk inurl:portal, чтобы выявить организации, использующие сервисные порталы Atlassian как потенциальные цели.
  3. AML.TA0003 Подготовка ресурсов

    AML.T0065 Создание промптов для LLM

    Исследователи составили вредоносный промпт, требующий опубликовать данные из всех других обращений поддержки в ответе к текущему обращению.
  4. AML.TA0004 Первичный доступ

    AML.T0093 Внедрение промпта через публичное приложение

    Исследователи создали новое обращение с вредоносным промптом на публичном портале Jira Service Management (JSM) жертвы, выявленном во время разведки.
  5. AML.TA0005 Выполнение

    AML.T0051.001 Косвенная промпт-инъекция

    В рамках стандартного рабочего процесса инженер поддержки в организации-жертве использовал Claude Sonnet, который может взаимодействовать с Jira через MCP-сервер Atlassian, чтобы помочь обработать вредоносное обращение. В результате инъекция была непреднамеренно выполнена.
  6. AML.TA0012 Повышение привилегий

    AML.T0053 Вызов инструментов ИИ-агента

    Вредоносный промпт запрашивал информацию, доступную ИИ-агенту через инструменты Atlassian MCP. Это приводило к вызову этих инструментов через MCP и повышало привилегии исследователей в JSM-экземпляре жертвы.
  7. AML.TA0009 Сбор материалов

    AML.T0085.001 Инструменты ИИ-агента

    Вредоносный промпт предписывал собрать все сведения из других задач. Это вызывало инструмент Atlassian MCP, который мог обращаться к Jira-тикетам и собирать их.
  8. AML.TA0010 Эксфильтрация

    AML.T0086 Эксфильтрация через вызов инструмента ИИ-агента

    Вредоносный промпт предписывал опубликовать собранные сведения о тикетах в ответе к обращению. Это вызывало инструмент Atlassian MCP, который выполнял запрошенное действие и эксфильтровал данные в место, доступное исследователям на портале JSM.

Источники

  1. Cato CTRL Threat Research: PoC Attack Targeting Atlassian's Model Context Protocol (MCP) Introduces New "Living Off AI" Risk