Kalifornia Ülikooli teadlased on avastanud, et mõned kolmandate osapoolte AI suurte keelemudelite (LLM) marsruutijad võivad põhjustada turvakaugusi, mis võivad viia krüptovaluutade vargusele.
Teadlaste poolt neljapäeval avaldatud artikkel, milles hinnati kurjatähtsate vahendajate rünnakuid LLM-tarnekettale, paljastas neli rünnakute vektoreid, sealhulgas kurjasti koodi sisestamise ja tunnuste väljavõtmise.
„26 LLM-marsruutijat sisestavad saladuses kurjasti tööriistakäskusid ja varastavad tunnuseid,“ ütles artikli kaasautor Chaofan Shou X-is.
LLM-agentide puhul suunatakse päringud üha sagedamini kolmandate osapoolte API-vahendajate või marsruutijate kaudu, mis koguvad juurdepääsu teenusepakkujaile nagu OpenAI, Anthropic ja Google. Siiski lõpetavad need marsruutijad Interneti TLS-i (Transport Layer Security) ühendused ja neil on täielik tekstikujuline juurdepääs igale sõnumile.
See tähendab, et arendajad, kes kasutavad näiteks Claude Code’i nagu AI-koodimisagenti nutikate lepingute või rahakottide loomisel, võivad oma privaatsed võtmed, seemnefraseid ja muud tundlikud andmed edastada marsruutimisinfrastruktuuri kaudu, millele ei ole tehtud turvauuringut ega seda turvavarustatud.
Mitme hüppega LLM-marsruutija tarnekett. Allikas: arXiv.org
ETH varastati valesti paigutatud krüptorahakotist
Teadlased testisid 28 tasulist ja 400 tasuta marsruutijat, mida koguti avalikest kogukondadest.
Nende lemmikud olid hämmastavad: üheksa marsruutijat sisestasid aktiivselt kurjasti koodi, kaks kasutasid kohanduvaid põgenemistriggereid, 17 juurutasid teadlaste omanikus olevaid Amazon Web Servicesi tunnuseid ning üks tühi tegi teadlasele kuuluva privaatvõtmega Ethereumi (ETH) rahakoti.
Sellega seotud: Anthropic piirab juurdepääsu AI-mudelile küberrünnakuohu tõttu
Teadlased täitisid eelnevalt Ethereumi rahakotti „valesti paigutatud võtmetega“ nimetatud väikeste saldo ja teatasid, et eksperimendi käigus kaotatud väärtus oli alla 50 dollariga, kuid lisateavet, näiteks tehingu räsi, ei esitatud.
Autorid teostasid ka kaks „mürgitusteadust“, mis näitasid, et isegi ohutud marsruutijad muutuvad ohtlikuks, kui nad kasutavad nõrkade relee kaudu lekitatud tunnuseid.
Raskendatud tuvastada, kas marsruutijad on kurjatähtsed
Teadlased ütlesid, et kurjatähtset marsruutijat tuvastada ei ole lihtne.
Teine segadust tekitav leidumine oli see, mille teadlased nimetasid „YOLO-režiimiks“. See on seade paljude AI-agentide raamistikus, kus agent täidab käsklusi automaatselt ilma kasutaja kinnitust küsimata.
Eelnevalt õiguspäraseid marsruutijaid saab vaikimisi relvastada ilma, et operaator seda isegi teaks, samas kui tasuta marsruutijad võivad varastada tunnuseid, pakkudes odava API juurdepääsu kui ahvatlust, leidsid teadlased.
Teadlased soovitasid arendajatel, kes kasutavad AI-agente koodimisel, tugevdada klientrakenduse poolel asuvaid kaitsemeetmeid ning soovitasid mitte kunagi lasta privaatvõtmete või seemnefraseid läbi AI-agendi seansi liikuda.
Pikaajaliseks lahenduseks on see, et AI-etted võtaksid oma vastuste krüpteeritud allkirjastamise, et matemaatiliselt kontrollida, kas agenti täidetavad käsklused tulevad tegelikult mudelist.
Magazine: Keegi ei tea, kas kvantturvaline krüptograafia üldse töötab
- #Ethereum
- #AI
- #Cybercrime
- #Cybersecurity
- #AI & Hi-Tech
