Сбор материалов
Оригинал: Collection
Злоумышленник пытается собрать ИИ-артефакты и другую связанную информацию, относящуюся к его цели.
Сбор материалов включает техники, которые злоумышленники могут использовать для сбора информации, а также источники, из которых собирается информация, необходимая для дальнейшего достижения их целей. Часто следующей целью после сбора данных становится кража (эксфильтрация) ИИ-артефактов или использование собранной информации для подготовки будущих операций. Распространенные целевые источники включают репозитории программного обеспечения, реестры контейнеров, репозитории моделей и объектные хранилища.
Техники
Примеры процедур из кейсов
Приватный репозиторий кода содержал учетные данные, которые использовались для доступа к облачным хранилищам AWS S3. Это привело к обнаружению ресурсов инструмента распознавания лиц, включая:
- выпущенные настольные и мобильные приложения
- предварительные версии приложений с новыми возможностями
- токены доступа Slack
- необработанные видео и другие данные
Команда нашла файл целевой ML-модели и необходимые обучающие данные.
AML.CS0015Компрометация цепочки зависимостей PyTorchВредоносный пакет обследовал затронутую систему для базового фингерпринтинга, включая IP-адрес, имя пользователя и текущий рабочий каталог, а также похищал дополнительные чувствительные данные:
- DNS-серверы из `/etc/resolv.conf`
- имя хоста из `gethostname()`
- текущее имя пользователя из `getlogin()`
- имя текущего рабочего каталога из `getcwd()`
- переменные окружения
- `/etc/hosts`
- `/etc/passwd`
- первые 1000 файлов в каталоге `$HOME`
- `$HOME/.gitconfig`
- `$HOME/.ssh/*`.
Злоумышленник может искать в системе жертвы частные и проприетарные данные, включая артефакты ML-моделей. Jupyter Notebook [позволяют выполнять shell-команды](https://colab.research.google.com/github/jakevdp/PythonDataScienceHandbook/blob/master/notebooks/01.05-IPython-And-Shell-Commands.ipynb). В этом примере смонтированный Drive проверяется на наличие checkpoint-файлов моделей PyTorch: > /content/drive/MyDrive/models/checkpoint.pt
AML.CS0023ShadowRayЗлоумышленники могут собирать ИИ-артефакты, включая продакшен-модели и данные. Исследователи наблюдали рабочие продакшен-нагрузки нескольких организаций из разных отраслей.
AML.CS0037Эксфильтрация данных через инструменты ИИ-агента в Copilot StudioПромпт просит агента получить все поля и строки из «Customer Support Account Owners.csv». Агент извлекает весь файл.
AML.CS0037Эксфильтрация данных через инструменты ИИ-агента в Copilot StudioПромпт просит агента получить все записи Salesforce с помощью инструмента `get-records`. Агент извлекает все записи из CRM организации-жертвы.
AML.CS0038Внедрение инструкций для отложенного автоматического вызова инструмента ИИ-агентаРасширение Workspace находило документ и помещало его содержимое в контекст чата.
AML.CS0039Living Off AI: промпт-инъекция через Jira Service ManagementВредоносный промпт предписывал собрать все сведения из других задач. Это вызывало инструмент Atlassian MCP, который мог обращаться к Jira-тикетам и собирать их.
AML.CS0043Прототип вредоносного ПО со встроенной промпт-инъекциейВредоносное ПО Skynet пытается собрать файлы `%HOMEPATH%\.ssh\known_hosts` и `C:/Windows/System32/Drivers/etc/hosts`.
AML.CS0044LAMEHUG: вредоносное ПО, использующее динамические команды, сгенерированные ИИLAMEHUG использовал команды, сгенерированные ИИ, для сбора сведений о системе с сохранением в `%PROGRAMDATA%\info\info.txt`, а также рекурсивно просматривал папки Documents, Desktop и Downloads, чтобы подготовить файлы к эксфильтрации.
AML.CS0058Извлечение ИИ-моделей из Google PhotosИсследователи собрали артефакты моделей TensorFlow Lite из нескольких мест в APK, включая незашифрованные ресурсы приложения, файлы, встроенные в нативную библиотеку, и каталоги, специфичные для приложения.
Показано 12 из 14 примеров.