
Twoje poleganie na sztucznej inteligencji w wykonywaniu poleceń jest niezbędne, ale co się stanie, jeśli ktoś potajemnie zmanipuluje Twoje dane wejściowe? Nowy rodzaj zagrożenia, znany jako atak typu man-in-the-prompt, pozwala złośliwym podmiotom przejąć Twoje instrukcje, co skutkuje mylącymi lub szkodliwymi odpowiedziami dużych modeli językowych (LLM), które mogą prowadzić do kradzieży danych lub wprowadzenia użytkownika w błąd. W tym artykule zagłębimy się w mechanizmy ataków typu man-in-the-prompt i zaproponujemy strategie ochrony przed nimi.
Zrozumienie ataków typu Man-in-the-Prompt
Podobnie jak atak typu man-in-the-middle, atak typu man-in-the-prompt przechwytuje komunikację z narzędziem sztucznej inteligencji (AI), takim jak chatbot, aby uzyskać nieoczekiwane lub niebezpieczne odpowiedzi. Atakujący mogą albo wyświetlać widoczne komunikaty, albo dyskretnie modyfikować oryginalne instrukcje, aby zmanipulować LLM i doprowadzić do ujawnienia poufnych informacji lub wygenerowania szkodliwych treści.
Obecnie rozszerzenia przeglądarek stanowią główny wektor tego typu ataków. Ta luka w zabezpieczeniach wynika z faktu, że dane wejściowe i odpowiedzi z LLM są osadzone w modelu DOM (Document Object Model) strony, do którego dostęp rozszerzeń jest możliwy dzięki podstawowym uprawnieniom. Inne metody, takie jak korzystanie z narzędzi do generowania komunikatów, również mogą ułatwiać te szkodliwe ataki.
Środowiska korporacyjne korzystające z prywatnych programów LLM są szczególnie podatne na te ataki ze względu na dostęp do poufnych danych firmowych, w tym kluczy API i dokumentów prawnych. Podobnie, komercyjne chatboty, które przechowują poufne informacje, mogą stać się tokenami dla złośliwych podmiotów, które mogą oszukać użytkowników i skłonić ich do kliknięcia w szkodliwe linki lub wykonania złośliwych poleceń, podobnie jak ataki FileFix czy Eddiestealer.
Łagodzenie ryzyka wynikającego z rozszerzeń przeglądarek
Biorąc pod uwagę, że rozszerzenia przeglądarki stanowią istotne źródło ryzyka, kluczowe jest podjęcie środków ostrożności, aby uniknąć ataków typu man-in-the-prompt. Ponieważ rozszerzenia te zazwyczaj nie wymagają szerokich uprawnień, wykrycie takich wpływów może okazać się trudne. Aby wzmocnić swoją obronę, unikaj instalowania nieznanych lub podejrzanych rozszerzeń. Jeśli nie da się ich uniknąć, wybieraj tylko te opracowane przez rzetelnych i zaufanych wydawców.
Monitorowanie aktywności rozszerzeń przeglądarki może ujawnić sygnały ostrzegawcze. Na przykład, otwierając Menedżera zadań przeglądarki za pomocą Shift+ Esc, możesz zaobserwować, czy niektóre rozszerzenia nieoczekiwanie inicjują procesy podczas interakcji z LLM – zwłaszcza jeśli dzieje się to podczas wprowadzania tekstu w chatbocie.

Co więcej, zaleca się unikanie rozszerzeń, które bezpośrednio współdziałają z narzędziami LLM lub modyfikują monity, ponieważ na początku mogą wydawać się nieszkodliwe, ale z czasem mogą wprowadzać szkodliwe zmiany.
Dokładne sprawdzenie monitów przed wysłaniem
Chociaż narzędzia do tworzenia komunikatów online mogą usprawnić interakcje ze sztuczną inteligencją (AI), udostępniając szablony i optymalizując komunikaty, niosą one ze sobą ryzyko wprowadzania złośliwych modyfikacji bez konieczności uzyskania bezpośredniego dostępu do urządzenia lub przeglądarki. Aby temu zapobiec, najlepiej tworzyć komunikaty bezpośrednio w interfejsie chatbota AI i dokładnie je sprawdzać przed kliknięciem przycisku Enter.
Jeśli musisz korzystać z zewnętrznych źródeł treści podpowiedzi, skopiuj najpierw tekst do edytora tekstu, takiego jak Notatnik systemu Windows, aby wyeliminować wszelkie ukryte kody lub instrukcje. Upewnij się, że w podpowiedzi nie ma pustych miejsc, używając Backspaceklucza w razie potrzeby. Jeśli korzystanie z szablonów podpowiedzi jest niezbędne, rozważ utworzenie własnych, bezpiecznych wersji w aplikacji do robienia notatek, aby uniknąć uzależnienia od potencjalnych zagrożeń ze strony osób trzecich.
Inicjuj nowe sesje czatu, gdy jest to konieczne
Ataki typu Man-in-the-prompt mogą wykorzystywać aktywne sesje czatu do wyłudzania poufnych informacji. Aby zminimalizować ryzyko, inicjuj nową sesję czatu za każdym razem, gdy temat rozmowy ulegnie zmianie – zwłaszcza po omówieniu kwestii poufnych. Taka praktyka zmniejsza prawdopodobieństwo przypadkowego ujawnienia poufnych informacji, nawet jeśli atak nastąpi w trakcie rozmowy.

Ponadto przejście na nowy czat może ograniczyć prawdopodobieństwo, że atak będzie miał wpływ na kolejne interakcje.
Analiza odpowiedzi LLM
Do odpowiedzi generowanych przez chatboty AI należy podchodzić z pewną dozą sceptycyzmu. Należy zwracać uwagę na wszelkie nieścisłości lub nieoczekiwane wyniki. Jeśli chatbot ujawni poufne informacje, o które nie prosiłeś, rozważ natychmiastowe zamknięcie czatu lub rozpoczęcie nowej sesji. Modyfikacje typu „man-in-the-prompt” zazwyczaj zakłócają oryginalny komunikat lub wprowadzają dodatkowe, mylące żądania.
Co więcej, atakujący mogą manipulować LLM, aby prezentować odpowiedzi w mylących formatach, na przykład w blokach kodu lub tabelach. Po zidentyfikowaniu tych anomalii należy je traktować jako oznaki potencjalnego ataku typu man-in-the-prompt.
W środowisku korporacyjnym ataki typu man-in-the-prompt mogą łatwo przedostać się do systemu ze względu na brak rygorystycznej weryfikacji rozszerzeń przeglądarki używanych przez pracowników. Jako dodatkowy środek bezpieczeństwa, rozważ korzystanie z LLM w trybie incognito, jednocześnie wyłączając rozszerzenia. Takie podejście pomaga chronić się przed różnymi formami ataków, w tym przed zagrożeniami typu slopsquatting, które mogą wykorzystywać halucynacje sztucznej inteligencji.
Dodaj komentarz