Продукт или сервис с поддержкой ИИ

Оригинал: AI-Enabled Product or Service

Злоумышленники могут использовать продукт или сервис, в котором искусственный интеллект применяется как часть внутренней реализации, чтобы получить доступ к лежащей в его основе ИИ-модели. Такой непрямой доступ к модели может раскрывать сведения об ИИ-модели или результатах ее инференса через журналы или метаданные.

Тактики

Меры защиты

Примеры процедур из кейсов

AML.CS0003Обход ИИ-детектора вредоносного ПО CylanceАктор: Skylight Cyber / Тактика: AML.TA0000 Доступ к ИИ-модели

Исследователи имели доступ к ПО Cylance для обнаружения вредоносного ПО с поддержкой ИИ.

AML.CS0004Атака на систему распознавания лиц через подмену видеопотока камерыАктор: Two individuals / Тактика: AML.TA0000 Доступ к ИИ-модели

Злоумышленники использовали приложение виртуальной камеры, чтобы передать сгенерированное видео в сервис распознавания лиц на основе машинного обучения, применявшийся для проверки пользователей.

AML.CS0008Обход ProofPointАктор: Researchers at Silent Break Security / Тактика: AML.TA0000 Доступ к ИИ-модели

Исследователи отправили через систему множество писем, чтобы собрать выходные данные модели из заголовков.

AML.CS0009Отравление TayАктор: 4chan Users / Тактика: AML.TA0000 Доступ к ИИ-модели

Злоумышленники могли взаимодействовать с Tay через сообщения в Twitter.

AML.CS0014Сбивание с толку антивирусных нейронных сетейАктор: Kaspersky ML Research Team / Тактика: AML.TA0000 Доступ к ИИ-модели

На протяжении кейса исследователи использовали доступ к целевому антивирусному продукту на основе ML. Продукт сканирует файлы на системе пользователя, локально извлекает признаки, а затем отправляет их в облачный ML-детектор вредоносного ПО для классификации. Поэтому у исследователей был только доступ к самому детектору в режиме чёрного ящика, но из экстрактора признаков они могли получить ценную информацию для построения атаки.

AML.CS0016Выполнение кода в MathGPT через промпт-инъекциюАктор: Ludwig-Ferdinand Stumpp / Тактика: AML.TA0000 Доступ к ИИ-модели

Исследователь смог взаимодействовать с базовой моделью GPT-3 через приложение MathGPT. MathGPT использует GPT-3 для генерации Python-кода, решающего математические задачи, описанные пользовательскими промптами, и показывает пользователю сгенерированный код вместе с решением. Изучение встроенных и пользовательских промптов, а также их результатов привело исследователя к предположению, что приложение напрямую выполняет код, сгенерированный GPT-3.

AML.CS0017Обход проверки личности ID.meАктор: One individual / Тактика: AML.TA0000 Доступ к ИИ-модели

Мужчина подал заявки на пособие по безработице в California Employment Development Department, используя поддельные личности, и в процессе взаимодействовал с системой проверки личности ID.me. Система извлекает данные из фотографии документа, проверяет подлинность документа с помощью сочетания ИИ и проприетарных методов, а затем выполняет распознавание лица, сопоставляя фотографию в документе с селфи. <sup>[[7]](https://network.id.me/wp-content/uploads/Document-Verification-Use-Machine-Vision-and-AI-to-Extract-Content-and-Verify-the-Authenticity-1.pdf)</sup> Мужчина установил, что California Employment Development Department использует сторонний сервис ID.me для проверки личности заявителей. На сайте ID.me описаны шаги проверки личности, включая ввод персональных данных, загрузку водительского удостоверения и отправку селфи.

AML.CS0026Перехват финансовой транзакции с использованием M365 Copilot в роли инсайдераАктор: Zenity / Тактика: AML.TA0000 Доступ к ИИ-модели

Во время разработки и выполнения атаки на систему жертвы исследователи Zenity взаимодействовали с Microsoft Copilot for M365.

AML.CS0033Обход мобильной KYC-верификации с помощью дипфейк-изображения в реальном времениАктор: iProov Red Team / Тактика: AML.TA0000 Доступ к ИИ-модели

Во время проверки личности приложение финансового сервиса использует распознавание лица и проверку присутствия живого человека для анализа видео с камеры пользователя в реальном времени.

AML.CS0034ProKYC: дипфейк-инструмент для атак с мошенническим созданием аккаунтовАктор: ProKYC, cybercriminal group / Тактика: AML.TA0000 Доступ к ИИ-модели

Во время проверки личности приложение финансового сервиса использовало распознавание лица и проверку присутствия живого человека для анализа видео с камеры пользователя в реальном времени.

AML.CS0035Эксфильтрация данных из Slack AI через косвенную промпт-инъекциюАктор: PromptArmor / Тактика: AML.TA0000 Доступ к ИИ-модели

Исследователь взаимодействует со Slack AI, отправляя сообщения в публичные каналы Slack.

AML.CS0036AIKatz: атака на десктопные LLM-приложенияАктор: Lumia Security / Тактика: AML.TA0000 Доступ к ИИ-модели

После этого злоумышленник получил доступ, необходимый для взаимодействия с backend-сервисом LLM так, будто он является десктопным клиентом. Это давало ему доступ ко всем действиям, которые пользователь может выполнять через десктопное приложение.

AML.CS0037Эксфильтрация данных через инструменты ИИ-агента в Copilot StudioАктор: Zenity / Тактика: AML.TA0000 Доступ к ИИ-модели

Далее исследователи повторяют те же шаги для взаимодействия с ИИ-агентом: отправляют агенту вредоносные промпты по электронной почте и получают ответы на нужный им адрес.

AML.CS0060Межсайтовый скриптинг (XSS) через манипуляцию промптом в ИИ-чат-боте LenovoАктор: Cybernews Research Team / Тактика: AML.TA0000 Доступ к ИИ-модели

Исследователи использовали публичный веб-чат с агентом клиентской поддержки Lenovo «Lena».

AML.CS0061AI in the Middle: веб-сервисы ИИ как ретрансляторы C2Актор: Check Point Research / Тактика: AML.TA0000 Доступ к ИИ-модели

Предполагая наличие предварительного доступа, исследователи использовали собственный имплант на C++ со встроенным браузером или компонентом WebView для взаимодействия с Grok или Microsoft Copilot через публичный веб-интерфейс, а не через API-ключ.

AML.CS0062RCE-уязвимость в Semantic Kernel Search PluginАктор: Microsoft Defender Security Research Team / Тактика: AML.TA0000 Доступ к ИИ-модели

Исследователи взаимодействовали с агентом на базе Semantic Kernel через его стандартный чат-интерфейс.