Первичный доступ
Оригинал: Initial Access
Злоумышленник пытается получить доступ к ИИ-системе.
Целевой системой может быть сеть, мобильное устройство или периферийное устройство, например сенсорная платформа. ИИ-возможности, используемые системой, могут быть локальными, встроенными в устройство, или облачными.
Первичный доступ включает техники, которые используют различные векторы входа для первоначального закрепления в системе.
Техники
Примеры процедур из кейсов
Злоумышленник загрузил мутированные образцы на платформу.
AML.CS0004Атака на систему распознавания лиц через подмену видеопотока камерыЗлоумышленники успешно обошли систему распознавания лиц. Это позволило им выдать себя за жертву и подтвердить ее личность в налоговой системе.
AML.CS0009Отравление TayБот Tay использовал взаимодействия с пользователями Twitter как обучающие данные, чтобы улучшать свои диалоги. Злоумышленники смогли скоординироваться и использовать эту петлю обратной связи, чтобы исказить поведение Tay.
AML.CS0010Нарушение работы сервиса Microsoft AzureКоманда использовала действительную учетную запись, чтобы получить доступ к сети.
AML.CS0012Обход системы идентификации лиц с помощью физических контрмерКоманда получила доступ к коммерческому сервису идентификации лиц и его API через действительную учетную запись.
AML.CS0013Бэкдор-атака на модели глубокого обучения в мобильных приложенияхНа практике вредоносный APK-файл должен быть установлен на устройства жертв через компрометацию цепочки поставок.
AML.CS0015Компрометация цепочки зависимостей PyTorchВредоносный пакет зависимости с именем `torchtriton` был загружен в репозиторий PyPI с тем же именем, что и пакет, поставлявшийся со сборкой PyTorch-nightly. Этот вредоносный пакет содержал дополнительный код, отправлявший чувствительные данные с машины. Вредоносный `torchtriton` устанавливался вместо легитимного пакета, потому что PyPI имел приоритет над другими источниками. Подробнее см. [этот GitHub issue](https://github.com/pypa/pip/issues/8606).
AML.CS0016Выполнение кода в MathGPT через промпт-инъекциюЭто показало, что исследователь может использовать уязвимость к промпт-инъекции в модели GPT-3, применяемой в MathGPT, как вектор первичного доступа.
AML.CS0017Обход проверки личности ID.meМужчина собрал украденные персональные данные, включая имена, даты рождения и номера Social Security, и использовал их вместе со своими фотографиями в париках для получения поддельных водительских удостоверений. Он загружал поддельные документы вместе с селфи. Система проверки документов ID.me сопоставляла селфи с фотографией в документе, что позволяло части мошеннических заявок продвигаться дальше по процессу обработки.
AML.CS0018Выполнение произвольного кода через Google ColabJupyter Notebook часто используются для исследований и экспериментов в области ML и data science и содержат исполняемые фрагменты Python-кода, а также типовую функциональность командной строки Unix. Пользователи могут столкнуться со скомпрометированным notebook на публичных сайтах или получить его напрямую по ссылке.
AML.CS0018Выполнение произвольного кода через Google ColabПользователь-жертва может подключить свой Google Drive к скомпрометированному Colab notebook. Типовые причины подключения ML-notebook к Google Drive включают обучение на размещенных там данных или сохранение выходных файлов модели. При выполнении появляется окно подтверждения доступа и предупреждение о возможном доступе к данным: > Этот notebook запрашивает доступ к вашим файлам Google Drive. Предоставление доступа к Google Drive позволит коду, выполняемому в notebook, изменять файлы в вашем Google Drive. Перед предоставлением доступа обязательно проверьте код notebook. Тем не менее пользователь-жертва может принять запрос и предоставить скомпрометированному Colab notebook доступ к своему Drive. Выданные разрешения включают: - создание, изменение и удаление всех файлов Google Drive; - просмотр данных Google Photos; - просмотр контактов Google.
AML.CS0019PoisonGPTНичего не подозревающие пользователи могли скачать состязательную модель и интегрировать ее в приложения. После раскрытия информации об упражнении Hugging Face отключил репозиторий с похожим именем.
Показано 12 из 48 примеров.