Выполнение

Оригинал: Execution

Злоумышленник пытается запустить вредоносный код, встроенный в ИИ-артефакты или программное обеспечение.

Выполнение включает техники, которые приводят к запуску кода, контролируемого злоумышленником, в локальной или удаленной системе. Техники запуска вредоносного кода часто комбинируются с техниками из других тактик для достижения более широких целей, например исследования сети или кражи данных. Например, злоумышленник может использовать средство удаленного доступа, чтобы запустить скрипт PowerShell, выполняющий выявление удаленных систем.

Техники

Примеры процедур из кейсов

AML.CS0016Выполнение кода в MathGPT через промпт-инъекциюАктор: Ludwig-Ferdinand Stumpp / Тактика: AML.TA0005 Выполнение

Исследователь вручную составлял состязательные промпты, чтобы проверить, уязвима ли модель к промпт-инъекции и действительно ли приложение напрямую выполняет код, сгенерированный GPT-3.

AML.CS0016Выполнение кода в MathGPT через промпт-инъекциюАктор: Ludwig-Ferdinand Stumpp / Тактика: AML.TA0005 Выполнение

Исследователь получил возможность выполнения кода, поскольку LLM была подключена к интерпретатору Python. Исследователь мог косвенно выполнить произвольный код в Python-интерпретаторе приложения, если специально подготовленными промптами заставлял LLM сгенерировать этот код.

AML.CS0018Выполнение произвольного кода через Google ColabАктор: Tony Piazza / Тактика: AML.TA0005 Выполнение

Пользователь-жертва может неосознанно выполнить вредоносный код, входящий в состав скомпрометированного Colab notebook. Вредоносный код может быть обфусцирован или скрыт в других файлах, которые notebook загружает при выполнении.

AML.CS0020Угрозы косвенной промпт-инъекции: Bing Chat как похититель данныхАктор: Kai Greshake, Saarland University / Тактика: AML.TA0005 Выполнение

Если пользователь разрешил Bing Chat просматривать открытые сайты, чат может видеть их содержимое. Когда у пользователя открыт сайт злоумышленника, скрытая вредоносная инструкция попадает в Bing Chat и выполняется.

AML.CS0021Эксфильтрация разговоров ChatGPTАктор: Embrace The Red / Тактика: AML.TA0005 Выполнение

Промпт-инъекция срабатывает и заставляет ChatGPT добавить Markdown-изображение с сервера злоумышленника. История переписки пользователя при этом встраивается в URL как query-параметр.

AML.CS0022Галлюцинация пакетов ChatGPTАктор: Vulcan Cyber, Lasso Security / Тактика: AML.TA0005 Выполнение

В итоге пользователь загрузит вредоносный пакет, что позволит выполнить произвольный код.

AML.CS0024Червь Morris II: атака на основе RAGАктор: Stav Cohen, Ron Bitton, Ben Nassi / Тактика: AML.TA0005 Выполнение

Исследователи тестируют промпты через публичные API моделей, чтобы найти работающие промпт-инъекции.

AML.CS0024Червь Morris II: атака на основе RAGАктор: Stav Cohen, Ron Bitton, Ben Nassi / Тактика: AML.TA0005 Выполнение

Когда почтовый ассистент извлекает письмо с червем при очередной генерации ответа, промпт-инъекция меняет поведение GenAI-почтового ассистента.

AML.CS0024Червь Morris II: атака на основе RAGАктор: Stav Cohen, Ron Bitton, Ben Nassi / Тактика: AML.TA0005 Выполнение

Исследователи отправляют на адрес в целевой почтовой системе письмо с состязательным самореплицирующимся промптом, или «ИИ-червем». GenAI-почтовый ассистент автоматически обрабатывает это письмо в рамках обычной генерации предлагаемого ответа. Письмо сохраняется в базе данных для RAG (генерации, дополненной извлечением), что компрометирует RAG-систему.

AML.CS0026Перехват финансовой транзакции с использованием M365 Copilot в роли инсайдераАктор: Zenity / Тактика: AML.TA0005 Выполнение

Исследователи использовали промпт-инъекцию, чтобы при ответе LLM выполняла другие инструкции. Это происходит каждый раз, когда пользователь выполняет поиск и извлекается отравленная RAG-запись с промпт-инъекцией.

AML.CS0027Путаница с организациями на Hugging FaceАктор: threlfall_hax / Тактика: AML.TA0005 Выполнение

Когда любой пользователь позже загрузит модель, она автоматически выполнит полезную нагрузку злоумышленника.

AML.CS0029Эксфильтрация разговоров Google BardАктор: Embrace the Red / Тактика: AML.TA0005 Выполнение

Когда пользователь отправляет запрос, приводящий к извлечению документа, встроенный промпт выполняется. Вредоносный промпт заставляет Bard ответить Markdown-разметкой изображения, URL которого указывает на Google Apps Script исследователя и содержит разговор пользователя в параметре запроса.

Показано 12 из 51 примеров.