Fő AI Ügynökök Sebezhetősége a Kaárpításra, Tanulmány Szerint

A leggyakrabban használt AI asszisztensek – többek között a Microsoft, Google, OpenAI és Salesforce termékei – az új kutatás szerint a támadók által könnyedén felülírhatóak, kis vagy akár semmilyen felhasználói interakcióval. A kutatást a Zenity Labs végezte.

A Black Hat USA kiberbiztonsági konferencián bemutatott eredmények azt mutatják, hogy a hackerek képesek lehetnek adatokat lopni, munkafolyamatokat manipulálni, sőt még felhasználókat is megszemélyesíteni. Egyes esetekben a támadók “memória tartósságot” szerezhetnek, ami hosszú távú hozzáférést és ellenőrzést tesz lehetővé.

“Manipulálhatják az utasításokat, megmérgezhetik a tudásforrásokat, és teljesen megváltoztathatják az ügynök viselkedését” – mondta Greg Zemlin, a Zenity Labs termékmarketing menedzsere a Cybersecurity Dive című oldalnak. “Ez lehetőséget teremt a szabotázsra, a működési zavarokra és a hosszú távú dezinformációra, főként olyan környezetekben, ahol az ügynökökre bízzák a kritikus döntések meghozatalát vagy támogatását.”

A kutatók teljes támadási láncokat mutattak be több nagyvállalati AI platformmal szemben. Egy esetben az OpenAI ChatGPT-jét email alapú prompt beinjekcióval vették át, lehetővé téve a hozzáférést a kapcsolódó Google Drive adatokhoz.

A Microsoft Copilot Studio CRM adatbázisokat szivárogtatott, több mint 3000 sebezhető ügynököt azonosítottak online. A Salesforce Einstein platformját manipulálták, hogy az ügyfélkommunikációt támadók által ellenőrzött e-mail fiókokba irányítsák.

Eközben a Google Gemini és a Microsoft 365 Copilot belső fenyegetéssé alakíthatók, amelyek képesek érzékeny beszélgetéseket ellopni és hamis információkat terjeszteni.

Ráadásul a kutatók képesek voltak rávenni a Google Gemini AI-ját, hogy okos otthoni eszközöket irányítson. A hackelés fényeket kapcsolt le, redőnyöket nyitott ki, és fűtő kazánt indított el a lakók parancsa nélkül.

A Zenity közzétette a felfedezéseit, ami néhány cég reakcióját váltotta ki, és javítócsomagokat adtak ki. “Nagyrabecsüljük a Zenity munkáját, amely azonosította és felelősségteljesen jelentette ezeket a technikákat,” mondta egy Microsoft szóvivő a Cybersecurity Dive-nak. A Microsoft szerint a jelentett viselkedés “már nem hatékony”, és a Copilot ügynököknek védőintézkedések állnak rendelkezésre.

Az OpenAI megerősítette, hogy kijavította a ChatGPT hibáit és futtat egy hibajutalom programot. A Salesforce azt állította, hogy kijavította a jelentett problémát. A Google azt mondta, hogy „új, réteges védelmi” intézkedéseket hajtott végre, és hangsúlyozta, hogy „alapvető fontosságú a réteges védelmi stratégia a prompt injekciós támadások ellen”, ahogy a Cybersecurity Dive is beszámolt róla.

A jelentés kiemeli a növekvő biztonsági aggodalmakat, ahogy az AI ügynökök egyre gyakoribbá válnak a munkahelyeken, és megbízhatónak tekintik őket érzékeny feladatok kezelésére.

Egy másik friss vizsgálatban arról számoltak be, hogy a hackerek képesek kriptovalutát ellopni a Web3 AI ügynöktől, hamis emlékek beültetésével, amelyek felülírják a normál védelmi mechanizmusokat.

A biztonsági hiba az ElizaOS és hasonló platformokban van jelen, mivel a támadók kompromittált ügynökök használatával képesek átutalásokat eszközölni különböző platformok között. A blockchain tranzakciók véglegessége miatt lehetetlen visszaszerezni az ellopott pénzeszközöket. Egy új eszköz, a CrAIBench, segíteni kíván a fejlesztőknek a védelmi mechanizmusok erősítésében.