即将到来的多模态攻击浪潮:当AI工具成为新的攻击面
随着大型语言模型(LLMs)演变为能够处理文本、图像、语音和代码的多模态系统,它们也正在成为外部工具和连接器的强大协调者。这种演变带来了攻击面的扩大,组织需要对此有所认知。社会工程学就是一个典型的例子,智能体可能成为其受害者,因为它们被训练得像人类一样行事,甚至更缺乏怀疑精神。例如,一个智能体很可能无法区分伪造的电子邮件和来自合法零售商的邮件。多模态与工具访问的结合,将AI从助手转变为攻击媒介。攻击者现在可以使用简单的文本提示来触发工具滥用、执行未经授权的操作或通过合法渠道窃取敏感数据。因为这些能力是为可访问性而非防御而设计的,即使是低技能的对手也可以利用AI系统执行复杂操作,而无需编写一行代码。多模态AI如何成为攻击链LLMs正日益成为外部系统的协调者,如今的集成范围包括从API到电子邮件、云存储和代码执行工具的一切。这些连接器通常是为可访问性而非防御而构建的。其弊端在于,这可能导致一波新的漏洞利用。其一是提示驱动的工具滥用。例如,攻击者可以在电子邮件中插入一张带有提示注入指令的图片。需要光学字符识别(OCR)工具来从图像中提取文本。智能体被指示回复电子邮件,并将目标家庭地址的谷歌地图作为附件,从而暴露受害者的位置。另一种机制是跨模态护栏规避。这涉及到位于工具入口点和出口点之间的护栏。例如,在分析OCR提取器的输出时,可能没有足够强大的护栏来防范从其输出中发现的提示注入。还存在可以被利用的结构性弱点。其中一个问题是模型与其可调用的外部工具之间存在松散、过度宽松的绑定——这意味着一个简单的自然语言提示就可以触发真实操作,如运行代码、访问文件或与电子邮件交互。除此之外,许多此类系统缺乏严格的访问控制,因此AI可能拥有远超人类授权范围的写入、删除或修改数据的能力。当你查看连接器和MCP风格的扩展时,问题变得更加严重,这些扩展通常几乎没有护栏;一旦连接,它们就会在几乎没有监督的情况下将AI的触角扩展到个人存储、收件箱和云平台。这些结构性弱点共同创造了一个环境,使得经典的安全问题——数据窃取、沙箱逃逸,甚至内存污染——都可以仅通过一个精心设计的提示触发。新兴威胁:下一步是什么?在这种新常态下,AI驱动的电子邮件和社会工程学攻击迫在眉睫。网络钓鱼数量将因攻击者使用LLMs而增加;其瓶颈在于绕过谷歌等电子邮件提供商的正常垃圾邮件过滤器。连接到收件箱的AI智能体增加了网络钓鱼攻击成功的可能性。随着用户将智能体连接到Gmail或Outlook,基于电子邮件的威胁可能会增加。攻击者可以指示AI运行整个垃圾邮件或鱼叉式网络钓鱼活动。在这种情况下,AI对AI的网络钓鱼变得可能。多模态系统越来越多地提供代码执行能力。逃逸路径允许攻击者破坏底层基础设施。而沙箱逃逸对供应商来说是最大的声誉噩梦。长期记忆污染和延迟触发器代表了进一步的威胁。持久性内存允许隐藏的有效载荷在未来提示时激活。跨模态触发器(例如,图像或文本片段)可能引发定时炸弹行为。为何多模态攻击如此易于实施且如此危险AI已经民主化了攻击能力。用户不再需要编码或恶意软件开发技能;自然语言成为创建恶意软件或窃取数据的界面。这意味着即使是非技术人员也可以通过提示生成恶意软件或发起攻击活动。AI还加速并扩大了有害操作的规模。多模态智能体可以自动化曾经需要专家努力的工作。代码、电子邮件、研究和侦察可以即时生成。用户的过度信任和无意识暴露加剧了AI的危害潜力。用户通常不了解AI可以访问什么,而默认设置越来越多地自动启用AI集成。许多人没有意识到他们已经授予AI对电子邮件或文档的过度访问权限。多模态安全的原则与控制措施组织必须制定针对多模态攻击的安全措施。安全团队需要默认限制工具访问。应使用选择加入控制来取代自动启用的集成。他们还应对所有AI连接的系统应用最小权限访问原则,并移除写入/删除权限。这应包括跨域规则和域名白名单(基础设施白名单,而非LLM级别的白名单)。另一个关键步骤是为工具调用建立明确的护栏。用结构化的、类型化的命令验证取代自然语言触发器。护栏应同时是输入和输出的阻塞点。其他重要的原则和控制措施包括: 对敏感操作强制执行严格的审批流程。 避免将用户数据放入持久性模型内存中。应用自动内存清理和来源检查。 强化并隔离代码执行环境。 监控可疑行为和逃逸尝试。 加强用户教育和透明度。 当智能体执行高风险任务时,增加更多用户确认。 明确告知用户AI工具何时正在访问电子邮件、文件或云资源。 警告用户有关高风险连接器的情况。 如何成功应对多模态攻击AI技术已迅速转变为业务运营的代理,造成了一种自然语言本身成为一种攻击形式的局面。多模态与工具访问的结合扩大了攻击面,将AI从助手转变为攻击媒介。多模态攻击利用了LLMs与其控制的外部系统(如API、文件存储和自动化平台)之间的松散集成。随着威胁的演变,组织必须采用明确考虑多模态攻击路径的策略。使用上述最佳实践加强防御,对于防止AI工具无意中成为攻击者漏洞利用链中的一环至关重要。
