Доступ к API инференса ИИ-модели
Оригинал: AI Model Inference API Access
Злоумышленники могут получить доступ к модели через легитимный доступ к API инференса. Доступ к API инференса может быть для злоумышленника источником информации (выявление онтологии ИИ-модели, выявление семейства ИИ-модели), средством подготовки атаки (проверка атаки, создание состязательных данных) или способом передать данные в целевую систему для воздействия (уклонение от ИИ-модели, нарушение целостности ИИ-модели).
Многие системы полагаются на одни и те же модели, доступные через API инференса, поэтому они наследуют общие уязвимости. Это особенно характерно для фундаментальных моделей, обучение которых требует запретительно больших ресурсов. Злоумышленники могут использовать доступ к API моделей, чтобы выявлять уязвимости, например джейлбрейки или галлюцинации, а затем атаковать приложения, использующие те же модели.
Тактики
Меры защиты
Злоумышленники могут использовать неограниченный доступ к API, чтобы получить сведения о продакшен-системе, подготовить атаки и внедрить в систему вредоносные данные.
AML.M0024Логирование телеметрии ИИЛогирование телеметрии может помогать аудировать использование API модели.
Примеры процедур из кейсов
Исследователи использовали публично доступное приложение не по назначению: отправляли запросы к модели и получали машинно переведенные пары предложений в качестве обучающих данных.
AML.CS0010Нарушение работы сервиса Microsoft AzureКоманда использовала открытый API для доступа к целевой модели.
AML.CS0011Обход ИИ на периферии MicrosoftИспользуя общедоступную версию ML-модели, команда начала отправлять запросы и анализировать ответы, то есть результаты инференса модели.
AML.CS0012Обход системы идентификации лиц с помощью физических контрмерКоманда получила доступ к API инференса целевой модели.
AML.CS0022Галлюцинация пакетов ChatGPTНа протяжении упражнения исследователи использовали публичный API ChatGPT.
AML.CS0024Червь Morris II: атака на основе RAGИсследователи используют доступ к публичному API GenAI-модели, на которой работает целевая почтовая система с RAG.
AML.CS0056Кампании по дистилляции моделей, нацеленные на Anthropic ClaudeИИ-лаборатории обращались к API инференса Claude через примерно 24 000 поддельных учетных записей в совокупности.
AML.CS0057Storm-2139: обход защитных ограничений Azure OpenAIПохищенные учетные данные давали доступ к Azure OpenAI Service, позволяя злоумышленникам и их клиентам отправлять промпты и генерировать контент. Инструмент Storm-2139 de3u использовался как фронтенд для этого доступа.