Думали, ChatGPT вам помогает? Оказывается, посредник уже переписывает ваши команды и ворует крипту
NewsMakerПочему за использование дешевого доступа к ИИ можно заплатить безопасностью.
Похоже, что в цепочке работы современных ИИ-сервисов нашлось слабое место, о котором почти не говорили. Дело не в самих моделях, а в посредниках между ними и пользователем. Новое исследование показывает, что через такие сервисы можно незаметно подменять команды и красть данные.
Работа посвящена так называемым «маршрутизаторам API» . Такие сервисы принимают запросы от пользователя и отправляют их разным поставщикам моделей. Для разработчика всё выглядит удобно: один ключ, единый формат, автоматический выбор модели. Но за удобством скрывается проблема. Каждый такой посредник видит весь трафик в открытом виде и может менять его без следа.
Авторы описали две основные схемы атак. Первая – подмена команд. Маршрутизатор перехватывает ответ модели и меняет его. Например, вместо безопасной команды загрузки программы может подставить ссылку на вредоносный скрипт. Пользователь запускает команду, не подозревая подвоха, и фактически сам заражает систему. Вторая схема – тихий сбор данных. Сервис просто копирует ключи доступа, пароли и другие секреты, которые проходят через него.
Проверка показала, что угроза уже реальна. Из 428 изученных сервисов 9 прямо вмешивались в команды и подставляли вредоносный код. В 17 случаях зафиксировали использование чужих облачных ключей , а один сервис даже вывел криптовалюту с тестового кошелька. При этом речь не только о бесплатных решениях: среди платных тоже нашёлся вредоносный вариант.
Похоже, что в цепочке работы современных ИИ-сервисов нашлось слабое место, о котором почти не говорили. Дело не в самих моделях, а в посредниках между ними и пользователем. Новое исследование показывает, что через такие сервисы можно незаметно подменять команды и красть данные.
Работа посвящена так называемым «маршрутизаторам API» . Такие сервисы принимают запросы от пользователя и отправляют их разным поставщикам моделей. Для разработчика всё выглядит удобно: один ключ, единый формат, автоматический выбор модели. Но за удобством скрывается проблема. Каждый такой посредник видит весь трафик в открытом виде и может менять его без следа.
Авторы описали две основные схемы атак. Первая – подмена команд. Маршрутизатор перехватывает ответ модели и меняет его. Например, вместо безопасной команды загрузки программы может подставить ссылку на вредоносный скрипт. Пользователь запускает команду, не подозревая подвоха, и фактически сам заражает систему. Вторая схема – тихий сбор данных. Сервис просто копирует ключи доступа, пароли и другие секреты, которые проходят через него.
Проверка показала, что угроза уже реальна. Из 428 изученных сервисов 9 прямо вмешивались в команды и подставляли вредоносный код. В 17 случаях зафиксировали использование чужих облачных ключей , а один сервис даже вывел криптовалюту с тестового кошелька. При этом речь не только о бесплатных решениях: среди платных тоже нашёлся вредоносный вариант.