Lãnh đạo tư tưởng

Làn sóng tấn công đa phương thức sắp tới: Khi các công cụ AI trở thành bề mặt khai thác mới

mm
Đã xuất bản
Đã cập nhật

Khi các mô hình ngôn ngữ lớn (LLM) phát triển thành các hệ thống đa phương thức có thể xử lý văn bản, hình ảnh, giọng nói và mã, chúng cũng trở thành những người điều khiển mạnh mẽ của các công cụ và kết nối bên ngoài. Sự tiến hóa này mang lại một bề mặt tấn công mở rộng mà các tổ chức cần phải nhận thức được.

Một ví dụ chính của điều này là kỹ thuật xã hội, mà các tác nhân có thể trở thành nạn nhân vì chúng được đào tạo để hành động như con người và chúng có ít sự hoài nghi hơn. Một tác nhân, ví dụ, không thể xác định được sự khác biệt giữa một email giả mạo và một email từ một nhà bán lẻ hợp pháp.

Sự hội tụ của đa phương thức và truy cập công cụ biến AI từ một trợ lý thành một phương tiện cho các cuộc tấn công. Các kẻ tấn công có thể sử dụng các lệnh văn bản đơn giản để kích hoạt sự lạm dụng công cụ, thực hiện các hành động không được ủy quyền hoặc lấy cắp dữ liệu nhạy cảm thông qua các kênh hợp pháp. Vì những khả năng này được thiết kế cho sự tiếp cận, không phải cho phòng thủ, nên даже những kẻ tấn công có kỹ năng thấp cũng có thể sử dụng các hệ thống AI để thực hiện các hoạt động phức tạp mà không cần viết một dòng mã nào.

Làm thế nào AI đa phương thức trở thành một chuỗi khai thác

LLM đang ngày càng trở thành những người điều khiển của các hệ thống bên ngoài, với các tích hợp ngày nay bao gồm mọi thứ từ API đến email, lưu trữ đám mây và các công cụ thực hiện mã. Những kết nối này thường được xây dựng cho sự tiếp cận, không phải cho phòng thủ.

Điểm yếu của điều này là nó có thể dẫn đến một làn sóng mới của các cuộc tấn công.

Một trong những cơ chế này là lạm dụng công cụ dựa trên lệnh. Ví dụ, một kẻ tấn công có thể sử dụng một hình ảnh với các lệnh tiêm lệnh được chèn vào một email. Một công cụ nhận dạng ký tự quang học (OCR) là cần thiết để trích xuất văn bản từ hình ảnh. Tác nhân được hướng dẫn để trả lời email và đính kèm một bản đồ Google đến địa chỉ nhà của mục tiêu, do đó làm mất ẩn danh vị trí của nạn nhân.

Một cơ chế khác là tránh bảo vệ giữa các phương thức. Điều này liên quan đến các bảo vệ giữa điểm vào và điểm ra của các công cụ. Ví dụ, khi phân tích đầu ra của một công cụ trích xuất OCR, có thể không có bảo vệ đủ mạnh xung quanh các lệnh tiêm được phát hiện từ đầu ra của nó.

Cũng có những điểm yếu cấu trúc có thể bị khai thác. Một vấn đề như vậy là các liên kết lỏng lẻo, cho phép quá nhiều giữa mô hình và các công cụ bên ngoài mà nó có thể gọi—nghĩa là một lệnh ngôn ngữ tự nhiên đơn giản có thể kích hoạt các hành động thực như chạy mã, truy cập tệp hoặc tương tác với email. Ngoài ra, nhiều hệ thống này thiếu các kiểm soát truy cập nghiêm ngặt, vì vậy AI có thể có khả năng viết, xóa hoặc sửa đổi dữ liệu vượt quá mức mà một con người sẽ ủy quyền. Vấn đề trở nên nghiêm trọng hơn khi bạn xem xét các kết nối và các tiện ích mở rộng kiểu MCP, thường đi kèm với hầu như không có bảo vệ; một khi được gắn, chúng mở rộng tầm với của AI vào lưu trữ cá nhân, hộp thư và nền tảng đám mây với rất ít giám sát. Cùng nhau, những điểm yếu cấu trúc này tạo ra một môi trường trong đó các vấn đề bảo mật kinh điển—trộm cắp, thoát sandbox và thậm chí ngộ độc bộ nhớ—có thể được kích hoạt thông qua không gì hơn là một lệnh thông minh.

Mối đe dọa mới nổi: Cái gì đến tiếp theo?

Trong tình hình bình thường mới này, các cuộc tấn công email và kỹ thuật xã hội được kích hoạt bởi AI sắp xảy ra. Phishing sẽ tăng do việc sử dụng LLM bởi kẻ tấn công; điểm nghẽn là bỏ qua các bộ lọc spam thông thường từ các nhà cung cấp email như Google. Các tác nhân kết nối hộp thư tăng khả năng thành công của các cuộc tấn công phishing. Sẽ có khả năng là có một sự gia tăng về các mối đe dọa dựa trên email khi người dùng kết nối các tác nhân với Gmail hoặc Outlook.

Kẻ tấn công có thể chỉ đạo AI chạy toàn bộ chiến dịch spam hoặc phishing. Trong kịch bản này,

phishing AI-to-AI trở nên hợp lý.

Các hệ thống đa phương thức ngày càng cung cấp khả năng thực hiện mã. Các đường thoát cho phép kẻ tấn công xâm phạm cơ sở hạ tầng cơ bản. Và thoát sandbox đại diện cho cơn ác mộng về danh tiếng lớn nhất cho các nhà cung cấp.

Độc bộ nhớ lâu dài và kích hoạt trì hoãn đại diện cho các mối đe dọa khác. Bộ nhớ lâu dài cho phép các payload ẩn hoạt động trên các lệnh trong tương lai. Các kích hoạt chéo phương thức (ví dụ, hình ảnh hoặc đoạn văn bản) có thể kích hoạt các hành vi bom thời gian.

Tại sao các cuộc tấn công đa phương thức lại dễ tiếp cận và nguy hiểm như vậy

AI đã dân chủ hóa các khả năng tấn công. Người dùng không còn cần các kỹ năng lập trình hoặc phát triển malware; ngôn ngữ tự nhiên trở thành giao diện cho việc tạo malware hoặc lấy cắp dữ liệu. Điều này có nghĩa là ngay cả những cá nhân không có kỹ thuật cũng có thể tạo ra malware hoặc chạy các chiến dịch thông qua các lệnh.

AI cũng cho phép tăng tốc và mở rộng các hoạt động có hại. Các tác nhân đa phương thức có thể tự động hóa công việc mà trước đây yêu cầu nỗ lực của chuyên gia. Mã, email, nghiên cứu và trinh sát có thể được tạo ra ngay lập tức.

Sự quá tin tưởng của người dùng và việc phơi bày không cố ý góp phần vào tiềm năng gây hại của AI. Người dùng thường không hiểu những gì AI có thể truy cập, và các cài đặt mặc định ngày càng tự động kích hoạt các tích hợp AI. Nhiều người không nhận ra rằng họ đã cấp cho AI quyền truy cập quá mức vào email hoặc tài liệu.

Nguyên tắc và kiểm soát cho bảo mật đa phương thức

Các tổ chức phải đặt các biện pháp bảo mật chống lại các cuộc tấn công đa phương thức. Các đội bảo mật sẽ cần hạn chế quyền truy cập công cụ theo mặc định. Các kiểm soát opt-in nên thay thế các tích hợp tự động kích hoạt. Họ cũng nên áp dụng quyền truy cập tối thiểu vào tất cả các hệ thống được kết nối với AI và xóa quyền ghi/xóa. Điều này nên bao gồm các quy tắc chéo nguồn và danh sách trắng miền (whitelisting cơ sở hạ tầng và không phải whitelisting cấp LLM).

Một bước quan trọng khác là xây dựng các bảo vệ rõ ràng cho việc gọi công cụ. Thay thế các lệnh ngôn ngữ tự nhiên bằng các lệnh có cấu trúc, được nhập liệu. Các bảo vệ nên là cả điểm vào và điểm ra.

Các nguyên tắc và kiểm soát quan trọng khác bao gồm:

  • Áp dụng các quy trình phê duyệt mạnh mẽ cho các hoạt động nhạy cảm.
  • Tránh đặt dữ liệu người dùng vào bộ nhớ mô hình bền. Áp dụng việc dọn dẹp bộ nhớ tự động và kiểm tra nguồn gốc.
  • Cứng hóa và cô lập các môi trường thực hiện mã.
  • Giám sát các hành vi đáng ngờ và các nỗ lực thoát.
  • Tăng cường giáo dục và minh bạch cho người dùng.
  • Thêm xác nhận người dùng khi tác nhân thực hiện các nhiệm vụ rủi ro.
  • Làm rõ khi các công cụ AI đang truy cập email, tệp hoặc tài nguyên đám mây.
  • Cảnh báo người dùng về các kết nối có rủi ro cao.

Thành công chống lại các cuộc tấn công đa phương thức

Các công nghệ AI đã nhanh chóng biến thành các tác nhân của các hoạt động kinh doanh, tạo ra một tình huống trong đó ngôn ngữ tự nhiên trở thành một hình thức khai thác. Sự hội tụ của đa phương thức và truy cập công cụ mở ra bề mặt tấn công, biến AI từ một trợ lý thành một phương tiện cho các cuộc tấn công. Các cuộc tấn công đa phương thức khai thác sự tích hợp lỏng lẻo giữa LLM và các hệ thống bên ngoài mà chúng kiểm soát, chẳng hạn như API, lưu trữ tệp và các nền tảng tự động hóa.

Khi các mối đe dọa tiến hóa, các tổ chức phải áp dụng các chiến lược mà rõ ràng tính đến các đường tấn công đa phương thức. Tăng cường các biện pháp phòng thủ bằng cách sử dụng các phương pháp hay nhất trên là điều cần thiết để ngăn chặn các công cụ AI vô tình trở thành các liên kết trong chuỗi khai thác của kẻ tấn công.

mm

Amanda Rousseau là một Nhà nghiên cứu An ninh Trí tuệ Nhân tạo Chính tại Straiker và là một kỹ sư đảo ngược mã độc giàu kinh nghiệm, người trước đây đã từng phục vụ trong Đội Đỏ của Facebook và Đội Nghiên cứu & Kỹ thuật An ninh Tấn công (MORSE) của Microsoft, sau các vai trò trước đó tại Endgame, FireEye và Trung tâm Tội phạm mạng Bộ Quốc phòng Hoa Kỳ.