Living Off AI: промпт-инъекция через Jira Service Management
Оригинал: Living Off AI: Prompt Injection via Jira Service Management
Исследователи Cato Networks продемонстрировали, как злоумышленники могут эксплуатировать ИИ-системы, встроенные в корпоративные рабочие процессы, для выполнения вредоносных действий с повышенными привилегиями. Для этого создаются вредоносные входные данные от внешних пользователей, например обращения в службу поддержки, которые позднее обрабатываются внутренними пользователями или автоматизированными системами с использованием ИИ-агентов. Эти ИИ-агенты, работающие во внутреннем контексте и с внутренним доверием, могут интерпретировать и выполнить вредоносные инструкции, что приводит к несанкционированным действиям, таким как эксфильтрация данных, повышение привилегий или манипулирование системой.
Процедура
- AML.TA0002 Разведка
AML.T0003 Поиск на сайтах организации-жертвы
Исследователи провели разведку, чтобы узнать о сервере Model Context Protocol (MCP) Atlassian и его интеграции с платформой Jira Service Management (JSM). Atlassian предлагает MCP-сервер, который встраивает ИИ в корпоративные рабочие процессы. MCP Atlassian поддерживает ряд действий на основе ИИ, включая суммаризацию обращений, автоматические ответы, классификацию и интеллектуальные рекомендации в JSM и Confluence. Он позволяет инженерам поддержки и внутренним пользователям взаимодействовать с ИИ прямо из привычных интерфейсов. - AML.TA0002 Разведка
AML.T0095 Поиск на открытых сайтах и доменах
Исследователи использовали поисковый запросsite:atlassian.net/servicedesk inurl:portal, чтобы выявить организации, использующие сервисные порталы Atlassian как потенциальные цели. - AML.TA0003 Подготовка ресурсов
AML.T0065 Создание промптов для LLM
Исследователи составили вредоносный промпт, требующий опубликовать данные из всех других обращений поддержки в ответе к текущему обращению. - AML.TA0004 Первичный доступ
AML.T0093 Внедрение промпта через публичное приложение
Исследователи создали новое обращение с вредоносным промптом на публичном портале Jira Service Management (JSM) жертвы, выявленном во время разведки. - AML.TA0005 Выполнение
AML.T0051.001 Косвенная промпт-инъекция
В рамках стандартного рабочего процесса инженер поддержки в организации-жертве использовал Claude Sonnet, который может взаимодействовать с Jira через MCP-сервер Atlassian, чтобы помочь обработать вредоносное обращение. В результате инъекция была непреднамеренно выполнена. - AML.TA0012 Повышение привилегий
AML.T0053 Вызов инструментов ИИ-агента
Вредоносный промпт запрашивал информацию, доступную ИИ-агенту через инструменты Atlassian MCP. Это приводило к вызову этих инструментов через MCP и повышало привилегии исследователей в JSM-экземпляре жертвы. - AML.TA0009 Сбор материалов
AML.T0085.001 Инструменты ИИ-агента
Вредоносный промпт предписывал собрать все сведения из других задач. Это вызывало инструмент Atlassian MCP, который мог обращаться к Jira-тикетам и собирать их. - AML.TA0010 Эксфильтрация
AML.T0086 Эксфильтрация через вызов инструмента ИИ-агента
Вредоносный промпт предписывал опубликовать собранные сведения о тикетах в ответе к обращению. Это вызывало инструмент Atlassian MCP, который выполнял запрошенное действие и эксфильтровал данные в место, доступное исследователям на портале JSM.