Обход ИИ-модели

Оригинал: Evade AI Model

Злоумышленники могут создавать состязательные данные, которые мешают ИИ-модели корректно определить содержимое данных, или создавать дипфейки, обманывающие ИИ-модель, рассчитанную на подлинные данные.

Эта техника может использоваться для обхода последующей задачи, в которой применяется ИИ. Злоумышленник может обходить обнаружение вирусов или вредоносного ПО на основе ИИ либо сетевое сканирование для достижения целей традиционной кибератаки. Обход ИИ-модели с помощью дипфейков также может дать первичный доступ к системам, использующим биометрическую аутентификацию на основе ИИ.

Тактики

Меры защиты

Примеры процедур из кейсов

AML.CS0000Обход детектора C&C-трафика вредоносного ПО на основе глубокого обученияАктор: Palo Alto Networks AI Research Team / Тактика: AML.TA0007 Уклонение от защиты

Используя созданные образцы, мы выполнили онлайн-обход модели обнаружения шпионского ПО на основе машинного обучения. Созданные пакеты были классифицированы как безвредные с уверенностью > 80%. Эта оценка показывает, что злоумышленники способны обходить продвинутые техники обнаружения на основе машинного обучения, создавая образцы, которые ML-модель классифицирует неверно.

AML.CS0001Обход обнаружения DGA-доменов ботнетовАктор: Palo Alto Networks AI Research Team / Тактика: AML.TA0007 Уклонение от защиты

Доменные имена, сгенерированные DGA и измененные с помощью этой техники, успешно обходят целевую модель обнаружения DGA, позволяя злоумышленнику продолжать связь со своими серверами [командования и управления](https://attack.mitre.org/tactics/TA0011/).

AML.CS0003Обход ИИ-детектора вредоносного ПО CylanceАктор: Skylight Cyber / Тактика: AML.TA0007 Уклонение от защиты

Поскольку вторичная модель переопределяла основную, исследователи фактически смогли обойти ML-модель.

AML.CS0004Атака на систему распознавания лиц через подмену видеопотока камерыАктор: Two individuals / Тактика: AML.TA0004 Первичный доступ

Злоумышленники успешно обошли систему распознавания лиц. Это позволило им выдать себя за жертву и подтвердить ее личность в налоговой системе.

AML.CS0005Атака на сервисы машинного переводаАктор: Berkeley Artificial Intelligence Research / Тактика: AML.TA0011 Воздействие

Состязательные примеры использовались для обхода сервисов машинного перевода разными способами. Среди них были целевые подмены слов, нецензурный вывод и пропуски предложений.

AML.CS0008Обход ProofPointАктор: Researchers at Silent Break Security / Тактика: AML.TA0011 Воздействие

В итоге сведения, полученные с помощью "офлайн" прокси-модели, позволили исследователям создавать вредоносные письма, которые получали благоприятные оценки от реальной системы защиты электронной почты ProofPoint и тем самым обходили ее.

AML.CS0010Нарушение работы сервиса Microsoft AzureАктор: Microsoft AI Red Team / Тактика: AML.TA0011 Воздействие

Команда провела онлайн-атаку обхода, повторно отправив состязательные примеры, и достигла своих целей.

AML.CS0011Обход ИИ на периферии MicrosoftАктор: Azure Red Team / Тактика: AML.TA0011 Воздействие

Красная команда подала на вход модели это незаметно измененное изображение и смогла обойти ML-модель, добившись ошибочной классификации.

AML.CS0012Обход системы идентификации лиц с помощью физических контрмерАктор: MITRE AI Red Team / Тактика: AML.TA0011 Воздействие

Команда успешно обошла модель с помощью физической наклейки, вызвав целевые ошибочные классификации.

AML.CS0013Бэкдор-атака на модели глубокого обучения в мобильных приложенияхАктор: Yuanchun Li, Jiayi Hua, Haoyu Wang, Chunyang Chen, Yunxin Liu / Тактика: AML.TA0011 Воздействие

Предъявление визуального триггера приводит к обходу модели жертвы. Исследователи показали, что это можно использовать для обхода ML-моделей в нескольких критически важных для безопасности приложениях из Google Play.

AML.CS0014Сбивание с толку антивирусных нейронных сетейАктор: Kaspersky ML Research Team / Тактика: AML.TA0007 Уклонение от защиты

Исследователи показали, что для большинства состязательных файлов антивирусная модель была успешно обойдена. На практике злоумышленник мог бы развернуть специально подготовленное вредоносное ПО и заражать системы, избегая обнаружения.

AML.CS0017Обход проверки личности ID.meАктор: One individual / Тактика: AML.TA0004 Первичный доступ

Мужчина собрал украденные персональные данные, включая имена, даты рождения и номера Social Security, и использовал их вместе со своими фотографиями в париках для получения поддельных водительских удостоверений. Он загружал поддельные документы вместе с селфи. Система проверки документов ID.me сопоставляла селфи с фотографией в документе, что позволяло части мошеннических заявок продвигаться дальше по процессу обработки.

AML.CS0028Подмена ИИ-модели через атаку на цепочку поставокАктор: Trend Micro Nebula Cloud Research Team / Тактика: AML.TA0011 Воздействие

После развертывания контейнерного образа злоумышленника модель может ошибочно классифицировать входные данные из-за внесенных им изменений.

AML.CS0032Попытка обхода ML-системы обнаружения фишинговых веб-страницАктор: Unknown / Тактика: AML.TA0007 Уклонение от защиты

Злоумышленникам удалось обойти модель визуального сходства, использовавшуюся для обнаружения имитации бренда. Однако другие компоненты системы обнаружения фишинга успешно выявили эти фишинговые сайты.

AML.CS0033Обход мобильной KYC-верификации с помощью дипфейк-изображения в реальном времениАктор: iProov Red Team / Тактика: AML.TA0004 Первичный доступ

Исследователи транслируют дипфейк-видеопоток через OBS и используют приложение Virtual Camera, чтобы заменить стандартную камеру этим потоком. Это позволяет успешно обойти систему распознавания лица и пройти аутентификацию под личностью жертвы.

AML.CS0034ProKYC: дипфейк-инструмент для атак с мошенническим созданием аккаунтовАктор: ProKYC, cybercriminal group / Тактика: AML.TA0004 Первичный доступ

Злоумышленник использовал ProKYC, чтобы заменить видеопоток с камеры дипфейк-видео с селфи. Это позволило успешно обойти KYC-проверку и пройти аутентификацию под поддельной личностью.

AML.CS0043Прототип вредоносного ПО со встроенной промпт-инъекциейАктор: Unknown Threat Actor / Тактика: AML.TA0007 Уклонение от защиты

LLM-инструмент обнаружения или анализа вредоносного ПО мог быть сманипулирован так, чтобы не классифицировать бинарный файл Skynet как вредоносный. Примечание: промпт-инъекция не сработала против LLM, которые тестировали Check Point Research.

AML.CS0058Извлечение ИИ-моделей из Google PhotosАктор: Skyld / Тактика: AML.TA0011 Воздействие

Состязательные данные могли использоваться для обхода или иного ухудшения работы моделей Google Photos, включая обнаружение лиц и объектов.