Повышение привилегий
Оригинал: Privilege Escalation
Злоумышленник пытается получить более высокий уровень прав.
Повышение привилегий включает техники, которые злоумышленники используют для получения более высокого уровня прав в системе или сети. Злоумышленники часто могут попасть в сеть и исследовать ее с непривилегированным доступом, но для достижения своих целей им требуются повышенные права. Распространенные подходы включают эксплуатацию слабых мест системы, ошибок конфигурации и уязвимостей. Примеры повышенного доступа включают:
- уровень SYSTEM/root
- локальный администратор
- учетная запись пользователя с правами, близкими к административным
- учетные записи пользователей с доступом к конкретной системе или возможностью выполнять конкретную функцию
Эти техники часто пересекаются с техниками закрепления, поскольку функции ОС, которые позволяют злоумышленнику закрепиться, могут выполняться в повышенном контексте.
Техники
Примеры процедур из кейсов
Кроме того, промпт может заставить LLM вызывать плагины, которые пользователь не запрашивал. В этом примере исследователь показал, как плагин `WebPilot` обращается к плагину `Expedia`.
AML.CS0026Перехват финансовой транзакции с использованием M365 Copilot в роли инсайдераИсследователи скомпрометировали плагин `search_enterprise`, заставив LLM переопределить часть поведения и использовать в ответе только извлеченный объект `EmailMessage`.
AML.CS0030LLM-джекингСкомпрометированные учетные данные дали злоумышленникам доступ к облачным средам, где были размещены сервисы больших языковых моделей (LLM).
AML.CS0038Внедрение инструкций для отложенного автоматического вызова инструмента ИИ-агентаПри следующем взаимодействии жертвы с Gemini вызывалось расширение Workspace.
AML.CS0039Living Off AI: промпт-инъекция через Jira Service ManagementВредоносный промпт запрашивал информацию, доступную ИИ-агенту через инструменты Atlassian MCP. Это приводило к вызову этих инструментов через MCP и повышало привилегии исследователей в JSM-экземпляре жертвы.
AML.CS0045Эксфильтрация данных через MCP-сервер, используемый CursorПромпт-инъекция задействовала возможность Cursor вызывать команды через инструмент `run_terminal_cmd`. Перед выполнением команды оболочки Cursor запросил подтверждение пользователя, что потенциально снижало риск атаки.
AML.CS0048Публично доступные интерфейсы управления ClawdBot позволили получить учетные данные и выполнить командыИсследователь отправил ClawdBot промпт `root`; в ответ ClawdBot вызвал навык `bash`, запущенный от имени пользователя root.
AML.CS0049Компрометация цепочки поставки через отравленный навык ClawdBotClaude Code выполнил команду оболочки через свой инструмент `bash`.
AML.CS0050Удаленное выполнение кода (RCE) в OpenClaw в один кликВредоносный скрипт использовал похищенный Gateway-токен для аутентификации, что позволяло затем выполнять вызовы к OpenClaw Gateway API в системе жертвы.
AML.CS0050Удаленное выполнение кода (RCE) в OpenClaw в один кликВредоносный скрипт отключал песочницу OpenClaw, заставляя агента выполнять команды напрямую на хост-машине, а не внутри Docker-контейнера. Для этого в OpenClaw Gateway API отправлялся запрос `config.patch`, устанавливающий `tools.exec.host` в значение `"gateway"`.
AML.CS0052LLMSmith: уязвимости RCE в приложениях с интеграцией LLMПромпты исследователей вызывали инструменты ИИ-агента и были нацелены на цепочки вызовов, которые могут привести к выполнению кода.
AML.CS0052LLMSmith: уязвимости RCE в приложениях с интеграцией LLMИсследователи включили техники выхода из изоляции, предназначенные для обхода ограничений, которые песочница может накладывать на выполнение кода.
Показано 12 из 14 примеров.