Разработка средств для атаки
Оригинал: Develop Capabilities
Злоумышленники могут разрабатывать собственные средства для поддержки своих операций. Этот процесс включает определение требований, создание решений и развертывание средств. Средства, используемые для поддержки атак на системы с поддержкой ИИ, не обязательно сами основаны на ИИ. Примеры включают создание сайтов с материалами для проведения атак или Jupyter Notebook с обфусцированным кодом для эксфильтрации.
Тактики
Подтехники
Примеры процедур из кейсов
Злоумышленник создает Jupyter Notebook, содержащий обфусцированный вредоносный код.
AML.CS0020Угрозы косвенной промпт-инъекции: Bing Chat как похититель данныхЗлоумышленник создал сайт с вредоносными системными инструкциями для LLM, чтобы повлиять на поведение модели. Эти инструкции считываются моделью, когда пользователь предоставляет Bing Chat доступ к открытой странице.
AML.CS0029Эксфильтрация разговоров Google BardИсследователь написал Google Apps Script, который записывает все параметры запроса в Google Doc.
AML.CS0043Прототип вредоносного ПО со встроенной промпт-инъекциейЗлоумышленник встроил промпт-инъекцию в образец вредоносного ПО, названный Skynet.
AML.CS0049Компрометация цепочки поставки через отравленный навык ClawdBotИсследователь создал простой веб-сервер для записи запросов.
AML.CS0050Удаленное выполнение кода (RCE) в OpenClaw в один кликИсследователь разработал JavaScript-скрипт для RCE в один клик.
AML.CS0052LLMSmith: уязвимости RCE в приложениях с интеграцией LLMИсследователи провели статический анализ API целевых LLM-фреймворков, чтобы выявить функции, которые выполняют код из пользовательского ввода или ответа LLM и поэтому уязвимы к RCE.
AML.CS0053Эксфильтрация писем через отравленный MCP-сервер PostmarkЗлоумышленник изменил легитимный MCP-сервер Postmark так, чтобы его адрес электронной почты добавлялся в поле скрытой копии (BCC) всех писем, отправляемых инструментом.
AML.CS0055AI ClickFix: захват управления computer-use-агентами с помощью ClickFixИсследователь использовал ChatGPT, чтобы с небольшими ручными правками сгенерировать вредоносный сайт. Сайт был рассчитан на то, чтобы побудить computer-use-агентов взаимодействовать с определенными элементами и в итоге выполнить код исследователя на машине жертвы. Исследователь также написал скрипт, способный запускать приложение на машине жертвы.
AML.CS0057Storm-2139: обход защитных ограничений Azure OpenAIСоздатели Storm-2139 разработали инструмент под названием de3u, чтобы упростить несанкционированное использование сервисов генеративного ИИ и обход защитных механизмов.