Закрепление
Оригинал: Persistence
Злоумышленник пытается сохранить закрепление с помощью ИИ-артефактов или программного обеспечения.
Закрепление включает техники, которые злоумышленники используют, чтобы сохранять доступ к системам после перезагрузок, изменения учетных данных и других прерываний, способных лишить их доступа. Техники закрепления часто предполагают оставление в системе модифицированных ML-артефактов, таких как отравленные обучающие данные или измененные ИИ-модели.
Техники
Примеры процедур из кейсов
Несколько вендоров начали классифицировать файлы как относящиеся к этому семейству программ-вымогателей, хотя большинство из них не запускались. Мутированные образцы отравили набор данных, который модели машинного обучения используют для выявления и классификации этого семейства программ-вымогателей.
AML.CS0009Отравление TayМногократно взаимодействуя с Tay с использованием расистской и оскорбительной лексики, злоумышленники смогли сместить набор данных Tay в сторону такой же лексики. Для этого они использовали функцию "repeat after me" — команду, которая заставляла Tay повторять все, что ей говорили.
AML.CS0013Бэкдор-атака на модели глубокого обучения в мобильных приложенияхИсследователи отравили модель жертвы, внедрив нейронную полезную нагрузку в скомпилированные модели через прямое изменение вычислительного графа. Затем исследователи снова упаковали отравленную модель в APK-файл.
AML.CS0024Червь Morris II: атака на основе RAGСамореплицирующаяся часть промпта заставляет сгенерированный ответ содержать вредоносный промпт, благодаря чему червь может распространяться дальше.
AML.CS0026Перехват финансовой транзакции с использованием M365 Copilot в роли инсайдераИсследователи добились закрепления в системе жертвы, поскольку вредоносный промпт выполнялся каждый раз, когда извлекалась отравленная RAG-запись с поддельными банковскими реквизитами.
AML.CS0028Подмена ИИ-модели через атаку на цепочку поставокИмея полный доступ к весам модели, злоумышленник мог изменить их, чтобы вызывать ошибочные классификации или иным образом ухудшать качество работы модели.
AML.CS0028Подмена ИИ-модели через атаку на цепочку поставокИмея полный доступ к модели, злоумышленник мог изменить ее архитектуру, чтобы поменять поведение модели.
AML.CS0035Эксфильтрация данных из Slack AI через косвенную промпт-инъекциюИсследователь создает публичный канал Slack и отправляет в него вредоносное содержимое: текст для извлечения и промпт. Поскольку Slack AI индексирует сообщения в публичных каналах, вредоносное сообщение добавляется в его RAG-базу данных.
AML.CS0036AIKatz: атака на десктопные LLM-приложенияЗатем злоумышленник мог создавать вредоносные промпты, манипулирующие памятью LLM для достижения устойчивого эффекта. Любое изменение в памяти также распространялось бы на новые цепочки сообщений.
AML.CS0036AIKatz: атака на десктопные LLM-приложенияЗлоумышленник мог создавать вредоносные промпты, манипулирующие контекстом цепочки сообщений; этот эффект сохранялся бы до конца такой цепочки.
AML.CS0040Взлом памяти ChatGPT с помощью промпт-инъекцииПромпт добавлял новые воспоминания и изменял поведение ChatGPT. Окно чата показывало, что память задана, хотя проверки или вмешательства со стороны человека не было. Все будущие сессии чата будут использовать отравленное хранилище памяти.
AML.CS0040Взлом памяти ChatGPT с помощью промпт-инъекцииПромпт-инъекция для отравления памяти сохраняется в общем Google Doc, откуда она может распространяться на других пользователей и сессии чата. Это затрудняет отслеживание источников воспоминаний и их удаление.
Показано 12 из 17 примеров.