关注我们.

多模态攻击浪潮即将到来:当人工智能工具成为新的攻击面

思想领袖

多模态攻击浪潮即将到来:当人工智能工具成为新的攻击面

mm
发布时间

随着大型语言模型(LLM)的发展 多式联运系统 它们不仅能够处理文本、图像、语音和代码,而且还在不断增强对外部工具和连接器的协调能力。随着这种演变,攻击面也随之扩大,企业需要对此保持警惕。

社会工程学就是一个典型的例子,智能体很容易成为这种攻击的受害者,因为他们接受过训练,行为举止像人类一样,而且他们的怀疑意识甚至更低。例如,智能体不太可能区分伪造的电子邮件和来自合法零售商的电子邮件。

多模态信息与工具访问的融合,使人工智能从助手转变为攻击媒介。攻击者现在只需简单的文本提示,即可触发工具滥用、执行未经授权的操作,或通过合法渠道窃取敏感数据。由于这些功能的设计初衷是为了方便用户访问,而非防御,即使是技能较低的攻击者也能利用人工智能系统执行复杂的操作,而无需编写任何代码。

多模态人工智能如何演变成攻击链

生命周期管理(LLM)正日益成为外部系统的协调者,如今的集成涵盖了从API到电子邮件、云存储和代码执行工具等方方面面。这些连接器通常是为了方便访问而构建的,而非为了防御。

这样做的缺点是,它可能会导致一波新的漏洞利用。

一种是滥用提示符驱动的工具。例如,攻击者可以将带有提示符注入指令的图片插入到电子邮件中。 光学字符识别 (OCR) 需要使用工具从图像中提取文本。代理人被指示回复电子邮件,并在邮件中附上目标家庭住址的谷歌地图,从而揭露受害者的位置信息。

另一种机制是跨模态规避。这指的是位于工具入口点和出口点之间的规避机制。例如,分析OCR提取器的输出时,可能缺乏足够有效的规避机制来阻止从其输出中发现的提示注入。

此外,还存在一些可被利用的结构性缺陷。其中一个问题是模型与其调用的外部工具之间绑定过于松散和宽松——这意味着一个简单的自然语言提示就能触发实际操作,例如运行代码、访问文件或与电子邮件交互。更糟糕的是,许多此类系统缺乏严格的访问控制,因此人工智能可能拥有写入、删除或修改数据的能力,远远超出人类的授权范围。当考察连接器和 MCP 式扩展时,问题变得更加严重,因为它们通常几乎没有任何防护措施;一旦连接,它们就会将人工智能的权限扩展到个人存储、收件箱和云平台,而几乎没有任何监管。这些结构性缺陷共同造成了一种环境,在这种环境下,只需精心设计的提示就能触发经典的安全问题——数据泄露、沙箱逃逸,甚至是内存中毒。

新出现的威胁:接下来会发生什么?

在这种新常态下,人工智能驱动的电子邮件和社交工程攻击迫在眉睫。 網絡釣魚 由于攻击者使用LLM(层级代理),攻击数量将会增加;关键在于绕过谷歌等电子邮件服务提供商的常规垃圾邮件过滤器。与收件箱连接的AI代理会增加网络钓鱼攻击成功的概率。随着用户将代理连接到Gmail或Outlook,基于电子邮件的威胁可能会增加。

攻击者可以指示人工智能执行完整的垃圾邮件或鱼叉式网络钓鱼活动。在这种情况下,

人工智能之间的网络钓鱼攻击变得切实可行。

多模态系统日益具备代码执行能力。逃逸路径使攻击者能够突破底层基础设施。而沙箱逃逸则是供应商最大的声誉噩梦。

长期记忆中毒和延迟触发构成进一步的威胁。持久记忆允许隐藏的有效载荷在未来的提示下激活。跨模态触发器(例如,图像或文本片段)可能引发定时炸弹行为。

为什么多模态攻击如此容易实施且如此危险

人工智能使攻击能力大众化。用户不再需要编程或恶意软件开发技能;自然语言成为创建恶意软件或窃取数据的操作界面。这意味着即使是非技术人员也能通过提示生成恶意软件或发起攻击活动。

人工智能也加速并扩大了有害行动的规模。多模态智能体可以自动完成过去需要专家才能完成的工作。代码、电子邮件、研究和侦察都可以即时生成。

用户过度信任和无意泄露信息会加剧人工智能的潜在危害。用户往往不了解人工智能可以访问哪些内容,而且默认设置越来越多地自动启用人工智能集成。许多人没有意识到他们已经授予人工智能过多的电子邮件或文档访问权限。

多式联运安全原则与控制

组织必须部署安全措施来抵御多模式攻击。安全团队需要默认限制工具访问权限。应采用选择加入控制来取代自动启用集成。此外,还应在所有人工智能连接的系统中应用最小权限原则,并移除写入/删除权限。这应包括跨域规则和域白名单(基础设施白名单,而非LLM级别的白名单)。

另一个关键步骤是为工具调用构建明确的防护机制。用结构化的、类型化的命令验证来取代自然语言触发器。防护机制应该同时作为输入和输出的瓶颈。

其他重要原则和控制措施包括:

  • 对敏感操作实施严格的审批流程。
  • 避免将用户数据放入持久化模型内存中。应用自动化内存清理和溯源检查。
  • 加强并隔离代码执行环境。
  • 密切注意可疑行为和逃跑企图。
  • 加强用户教育和提高透明度。
  • 当代理执行高风险任务时,增加用户确认环节。
  • 明确告知人工智能工具何时访问电子邮件、文件或云资源。
  • 警告用户注意高风险连接器。

成功抵御多模态攻击

人工智能技术已迅速演变为业务运营的代理,导致自然语言本身也成为一种攻击手段。多模态融合和工具访问的增加扩大了攻击面,使人工智能从助手变成了攻击媒介。多模态攻击利用了语言学习模型(LLM)与其控制的外部系统(例如应用程序接口、文件存储和自动化平台)之间集成度低的问题。

随着威胁不断演变,组织必须采取能够明确应对多模式攻击路径的策略。运用上述最佳实践加强防御至关重要,可以防止人工智能工具无意中成为攻击者攻击链中的一环。

相关话题:
mm

Amanda Rousseau 是……的首席人工智能安全研究员 斯特雷克 以及一位资深的恶意软件逆向工程师,他曾就职于 Facebook 红队和微软的攻击性研究与安全工程 (MORSE) 团队,此前曾在 Endgame、FireEye 和美国国防部网络犯罪中心担任职务。