Выполнение
Оригинал: Execution
Злоумышленник пытается запустить вредоносный код, встроенный в ИИ-артефакты или программное обеспечение.
Выполнение включает техники, которые приводят к запуску кода, контролируемого злоумышленником, в локальной или удаленной системе. Техники запуска вредоносного кода часто комбинируются с техниками из других тактик для достижения более широких целей, например исследования сети или кражи данных. Например, злоумышленник может использовать средство удаленного доступа, чтобы запустить скрипт PowerShell, выполняющий выявление удаленных систем.
Техники
Примеры процедур из кейсов
Исследователь вручную составлял состязательные промпты, чтобы проверить, уязвима ли модель к промпт-инъекции и действительно ли приложение напрямую выполняет код, сгенерированный GPT-3.
AML.CS0016Выполнение кода в MathGPT через промпт-инъекциюИсследователь получил возможность выполнения кода, поскольку LLM была подключена к интерпретатору Python. Исследователь мог косвенно выполнить произвольный код в Python-интерпретаторе приложения, если специально подготовленными промптами заставлял LLM сгенерировать этот код.
AML.CS0018Выполнение произвольного кода через Google ColabПользователь-жертва может неосознанно выполнить вредоносный код, входящий в состав скомпрометированного Colab notebook. Вредоносный код может быть обфусцирован или скрыт в других файлах, которые notebook загружает при выполнении.
AML.CS0020Угрозы косвенной промпт-инъекции: Bing Chat как похититель данныхЕсли пользователь разрешил Bing Chat просматривать открытые сайты, чат может видеть их содержимое. Когда у пользователя открыт сайт злоумышленника, скрытая вредоносная инструкция попадает в Bing Chat и выполняется.
AML.CS0021Эксфильтрация разговоров ChatGPTПромпт-инъекция срабатывает и заставляет ChatGPT добавить Markdown-изображение с сервера злоумышленника. История переписки пользователя при этом встраивается в URL как query-параметр.
AML.CS0022Галлюцинация пакетов ChatGPTВ итоге пользователь загрузит вредоносный пакет, что позволит выполнить произвольный код.
AML.CS0024Червь Morris II: атака на основе RAGИсследователи тестируют промпты через публичные API моделей, чтобы найти работающие промпт-инъекции.
AML.CS0024Червь Morris II: атака на основе RAGКогда почтовый ассистент извлекает письмо с червем при очередной генерации ответа, промпт-инъекция меняет поведение GenAI-почтового ассистента.
AML.CS0024Червь Morris II: атака на основе RAGИсследователи отправляют на адрес в целевой почтовой системе письмо с состязательным самореплицирующимся промптом, или «ИИ-червем». GenAI-почтовый ассистент автоматически обрабатывает это письмо в рамках обычной генерации предлагаемого ответа. Письмо сохраняется в базе данных для RAG (генерации, дополненной извлечением), что компрометирует RAG-систему.
AML.CS0026Перехват финансовой транзакции с использованием M365 Copilot в роли инсайдераИсследователи использовали промпт-инъекцию, чтобы при ответе LLM выполняла другие инструкции. Это происходит каждый раз, когда пользователь выполняет поиск и извлекается отравленная RAG-запись с промпт-инъекцией.
AML.CS0027Путаница с организациями на Hugging FaceКогда любой пользователь позже загрузит модель, она автоматически выполнит полезную нагрузку злоумышленника.
AML.CS0029Эксфильтрация разговоров Google BardКогда пользователь отправляет запрос, приводящий к извлечению документа, встроенный промпт выполняется. Вредоносный промпт заставляет Bard ответить Markdown-разметкой изображения, URL которого указывает на Google Apps Script исследователя и содержит разговор пользователя в параметре запроса.
Показано 12 из 51 примеров.