ChatGPT може вкрасти криптовалюту

У ланцюжку роботи сучасних ШІ-сервісів знайшлося слабке місце, про яке майже не говорили. Проблема не в самих моделях, а в посередниках між ними і користувачем. Нове дослідження показує: через такі сервіси можна непомітно підміняти команди і красти дані.

Йдеться про так звані «маршрутизатори API». Такі сервіси приймають запити від користувача і відправляють їх різним постачальникам моделей. Для розробника все виглядає зручно: один ключ, єдиний формат, автоматичний вибір моделі. Але за зручністю криється проблема — кожен такий посередник бачить увесь трафік у відкритому вигляді і може змінювати його без сліду.

Дослідники описали дві основні схеми атак. Перша — підміна команд. Маршрутизатор перехоплює відповідь моделі і змінює її: наприклад, замість безпечної команди завантаження програми підставляє посилання на шкідливий скрипт. Користувач запускає команду, не підозрюючи нічого, і фактично сам заражає систему. Друга схема — тихий збір даних. Сервіс просто копіює ключі доступу, паролі та інші секрети, які через нього проходять.

Перевірка показала, що загроза вже реальна. З 428 вивчених сервісів 9 прямо втручалися в команди і підставляли шкідливий код. У 17 випадках зафіксували використання чужих хмарних ключів, а один сервіс навіть вивів криптовалюту з тестового гаманця. При цьому йдеться не лише про безкоштовні рішення — серед платних також знайшовся шкідливий варіант.

Показово інше. Навіть «чисті» сервіси можуть стати частиною атаки. Якщо такий посередник використовує вкрадений ключ або підключається до слабозахищеного іншого сервісу, вся ланцюжок стає вразливою. В експерименті один навмисно «злитий» ключ обробив понад 100 млн токенів і розкрив десятки чужих даних. А тестові сервери зі слабким захистом швидко почали використовуватися сторонніми людьми — через них пройшло близько 2 млрд токенів і майже сотня облікових даних.

Окрема проблема — прихованість атак. Деякі сервіси поводяться нормально під час перевірки, а шкідливі дії вмикають пізніше — наприклад, лише після десятків запитів або лише в автоматичному режимі, коли система сама виконує команди без підтвердження. У такому режимі достатньо однієї підміни, щоб отримати повний контроль.

Прості захисні заходи допомагають лише частково. Можна блокувати небезпечні команди або відстежувати дивну поведінку, але такі фільтри легко обходяться. Головна проблема лишається: користувач не може перевірити, що саме повернула модель, а що змінив посередник.

Источник: noworries.news