Отравление RAG

Оригинал: RAG Poisoning

Злоумышленники могут внедрять вредоносное содержимое в данные, индексируемые системой RAG (генерации, дополненной извлечением), чтобы вредоносное содержимое попадало в будущий диалог через результаты поиска на основе RAG. Для этого они могут разместить манипулированные документы в месте, которое индексирует RAG (см. Сбор целей, индексируемых RAG).

Содержимое может быть нацелено так, чтобы всегда появляться в результатах поиска по конкретному пользовательскому запросу. Содержимое злоумышленника может включать ложную или вводящую в заблуждение информацию. Оно также может включать промпт-инъекции с вредоносными инструкциями или ложные записи RAG.

Тактики

Примеры процедур из кейсов

AML.CS0026Перехват финансовой транзакции с использованием M365 Copilot в роли инсайдераАктор: Zenity / Тактика: AML.TA0006 Закрепление

Исследователи добились закрепления в системе жертвы, поскольку вредоносный промпт выполнялся каждый раз, когда извлекалась отравленная RAG-запись с поддельными банковскими реквизитами.

AML.CS0035Эксфильтрация данных из Slack AI через косвенную промпт-инъекциюАктор: PromptArmor / Тактика: AML.TA0006 Закрепление

Исследователь создает публичный канал Slack и отправляет в него вредоносное содержимое: текст для извлечения и промпт. Поскольку Slack AI индексирует сообщения в публичных каналах, вредоносное сообщение добавляется в его RAG-базу данных.

AML.CS0059EchoLeak: промпт-инъекция нулевого клика против M365 Copilot для эксфильтрации данныхАктор: Aim Labs / Тактика: AML.TA0006 Закрепление

Письмо было автоматически загружено в базу данных RAG, доступную пайплайну извлечения Copilot.