Закрепление

Оригинал: Persistence

Злоумышленник пытается сохранить закрепление с помощью ИИ-артефактов или программного обеспечения.

Закрепление включает техники, которые злоумышленники используют, чтобы сохранять доступ к системам после перезагрузок, изменения учетных данных и других прерываний, способных лишить их доступа. Техники закрепления часто предполагают оставление в системе модифицированных ML-артефактов, таких как отравленные обучающие данные или измененные ИИ-модели.

Техники

Примеры процедур из кейсов

AML.CS0002Отравление VirusTotalАктор: Unknown / Тактика: AML.TA0006 Закрепление

Несколько вендоров начали классифицировать файлы как относящиеся к этому семейству программ-вымогателей, хотя большинство из них не запускались. Мутированные образцы отравили набор данных, который модели машинного обучения используют для выявления и классификации этого семейства программ-вымогателей.

AML.CS0009Отравление TayАктор: 4chan Users / Тактика: AML.TA0006 Закрепление

Многократно взаимодействуя с Tay с использованием расистской и оскорбительной лексики, злоумышленники смогли сместить набор данных Tay в сторону такой же лексики. Для этого они использовали функцию "repeat after me" — команду, которая заставляла Tay повторять все, что ей говорили.

AML.CS0013Бэкдор-атака на модели глубокого обучения в мобильных приложенияхАктор: Yuanchun Li, Jiayi Hua, Haoyu Wang, Chunyang Chen, Yunxin Liu / Тактика: AML.TA0006 Закрепление

Исследователи отравили модель жертвы, внедрив нейронную полезную нагрузку в скомпилированные модели через прямое изменение вычислительного графа. Затем исследователи снова упаковали отравленную модель в APK-файл.

AML.CS0024Червь Morris II: атака на основе RAGАктор: Stav Cohen, Ron Bitton, Ben Nassi / Тактика: AML.TA0006 Закрепление

Самореплицирующаяся часть промпта заставляет сгенерированный ответ содержать вредоносный промпт, благодаря чему червь может распространяться дальше.

AML.CS0026Перехват финансовой транзакции с использованием M365 Copilot в роли инсайдераАктор: Zenity / Тактика: AML.TA0006 Закрепление

Исследователи добились закрепления в системе жертвы, поскольку вредоносный промпт выполнялся каждый раз, когда извлекалась отравленная RAG-запись с поддельными банковскими реквизитами.

AML.CS0028Подмена ИИ-модели через атаку на цепочку поставокАктор: Trend Micro Nebula Cloud Research Team / Тактика: AML.TA0006 Закрепление

Имея полный доступ к весам модели, злоумышленник мог изменить их, чтобы вызывать ошибочные классификации или иным образом ухудшать качество работы модели.

AML.CS0028Подмена ИИ-модели через атаку на цепочку поставокАктор: Trend Micro Nebula Cloud Research Team / Тактика: AML.TA0006 Закрепление

Имея полный доступ к модели, злоумышленник мог изменить ее архитектуру, чтобы поменять поведение модели.

AML.CS0035Эксфильтрация данных из Slack AI через косвенную промпт-инъекциюАктор: PromptArmor / Тактика: AML.TA0006 Закрепление

Исследователь создает публичный канал Slack и отправляет в него вредоносное содержимое: текст для извлечения и промпт. Поскольку Slack AI индексирует сообщения в публичных каналах, вредоносное сообщение добавляется в его RAG-базу данных.

AML.CS0036AIKatz: атака на десктопные LLM-приложенияАктор: Lumia Security / Тактика: AML.TA0006 Закрепление

Затем злоумышленник мог создавать вредоносные промпты, манипулирующие памятью LLM для достижения устойчивого эффекта. Любое изменение в памяти также распространялось бы на новые цепочки сообщений.

AML.CS0036AIKatz: атака на десктопные LLM-приложенияАктор: Lumia Security / Тактика: AML.TA0006 Закрепление

Злоумышленник мог создавать вредоносные промпты, манипулирующие контекстом цепочки сообщений; этот эффект сохранялся бы до конца такой цепочки.

AML.CS0040Взлом памяти ChatGPT с помощью промпт-инъекцииАктор: Embrace the Red / Тактика: AML.TA0006 Закрепление

Промпт добавлял новые воспоминания и изменял поведение ChatGPT. Окно чата показывало, что память задана, хотя проверки или вмешательства со стороны человека не было. Все будущие сессии чата будут использовать отравленное хранилище памяти.

AML.CS0040Взлом памяти ChatGPT с помощью промпт-инъекцииАктор: Embrace the Red / Тактика: AML.TA0006 Закрепление

Промпт-инъекция для отравления памяти сохраняется в общем Google Doc, откуда она может распространяться на других пользователей и сессии чата. Это затрудняет отслеживание источников воспоминаний и их удаление.

Показано 12 из 17 примеров.