Выявление
Оригинал: Discovery
Злоумышленник пытается разобраться в ИИ-среде организации-жертвы.
Выявление включает техники, которые злоумышленник может использовать для получения сведений о системе и внутренней сети. Эти техники помогают злоумышленникам наблюдать за средой и ориентироваться в ней, прежде чем решить, как действовать дальше. Они также позволяют злоумышленникам исследовать, что они могут контролировать и что находится вокруг их точки входа, чтобы понять, как это может помочь достижению текущей цели. Для такого сбора информации после компрометации часто используются встроенные средства операционной системы.
Техники
Примеры процедур из кейсов
Исследователи включили подробное логирование, раскрывающее внутреннюю логику работы ML-модели, особенно в части репутационного скоринга и ансамблирования моделей.
AML.CS0008Обход ProofPointИсследователи обнаружили, что ProofPoint Email Protection оставляла выходные оценки модели в заголовках писем.
AML.CS0012Обход системы идентификации лиц с помощью физических контрмерКоманда определила список идентичностей, на которые была нацелена модель, отправляя запросы к API инференса целевой модели.
AML.CS0022Галлюцинация пакетов ChatGPTИсследователи просили ChatGPT предложить программные пакеты и выявляли среди рекомендаций галлюцинации — пакеты, которых нет в публичном репозитории. Например, на вопрос "how to upload a model to huggingface?" модель предложила установить пакет `huggingface-cli` командой `pip install huggingface-cli`. Такого пакета в PyPI не существовало; реальный CLI-инструмент Hugging Face входит в пакет `huggingface_hub`.
AML.CS0026Перехват финансовой транзакции с использованием M365 Copilot в роли инсайдераИсследуя ответы Copilot, исследователи выявили специальные разделители и маркеры, например `**`, `**END**`, `Actual Snippet:` и `[^1^]`. Эти строки используются как служебные признаки для отделения разных частей промпта Copilot друг от друга.
AML.CS0026Перехват финансовой транзакции с использованием M365 Copilot в роли инсайдераИсследуя ответы Copilot, исследователи выявили плагины и конкретные функции, к которым Copilot имеет доступ. Среди них были функция `search_enterprise` и объект `EmailMessage`.
AML.CS0027Путаница с организациями на Hugging FaceИсследователь мог искать ИИ-модели в среде организации-жертвы.
AML.CS0028Подмена ИИ-модели через атаку на цепочку поставокИсследователи обнаружили 1 453 уникальные ИИ-модели, встроенные в приватные контейнерные образы. Около половины из них были в формате Open Neural Network Exchange (ONNX).
AML.CS0030LLM-джекингЗлоумышленники использовали keychecker, чтобы выяснить, какие LLM-сервисы включены в облачной среде и есть ли для этих сервисов квоты ресурсов. Затем злоумышленники проверили, дают ли украденные учетные данные доступ к LLM-ресурсам. Они использовали легитимные запросы `invokeModel` с недопустимым значением -1 для параметра `max_tokens_to_sample`: если учетные данные не давали нужного доступа для вызова модели, такой запрос вызывал ошибку `AccessDenied`. Проверка показала, что украденные учетные данные действительно предоставляли доступ к LLM-ресурсам. Злоумышленники также использовали `GetModelInvocationLoggingConfiguration`, чтобы понять, как настроена модель. Это позволяло им определить, включено ли логирование промптов, и избегать обнаружения при выполнении промптов.
AML.CS0036AIKatz: атака на десктопные LLM-приложенияЗлоумышленник получил список всех процессов, запущенных на машине жертвы, и выявил среди них процессы десктопных LLM-приложений.
AML.CS0037Эксфильтрация данных через инструменты ИИ-агента в Copilot StudioИсследователи обнаруживают, что ИИ-агент имеет доступ к источнику данных «Customer Support Account Owners.csv».
AML.CS0037Эксфильтрация данных через инструменты ИИ-агента в Copilot StudioИсследователи делают вывод, что у ИИ-агента есть инструмент для отправки писем.
Показано 12 из 19 примеров.