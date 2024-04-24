研究人员创造了一种前所未见的新型恶意软件，将其命名为“Morris II”蠕虫，它利用流行的 AI 服务进行自我传播、感染新系统并窃取数据。 该名称源自 1988 年曾肆虐互联网的原始莫里斯计算机蠕虫。
该蠕虫表明了 AI 安全威胁的潜在危险，并为确保 AI 模型的安全带来了新的紧迫性。
来自康奈尔科技学院、以色列理工学院和 Intuit 公司的研究人员使用了所谓的“对抗性自我复制提示”来创建该蠕虫。这种提示在输入大语言模型（他们在 OpenAI 的 ChatGPT、谷歌的 Gemini 以及由威斯康星大学麦迪逊分校、微软研究院和哥伦比亚大学的研究人员开发的开源 LLaVA 模型上进行了测试）后，会诱骗模型创建额外的提示。它会触发聊天机器人生成自己的恶意提示，然后通过执行这些指令进行响应（类似于 SQL 注入和缓冲区溢出攻击）。
该蠕虫有两个主要功能：
1. 数据渗漏：该蠕虫可以从受感染系统的电子邮件中提取敏感的个人数据，包括姓名、电话号码、信用卡详细信息和社会保障号码。
2. 垃圾邮件传播：该蠕虫可以通过遭入侵的人工智能驱动型电子邮件助手生成并发送垃圾邮件和其他恶意电子邮件，从而帮助其传播以感染其他系统。
研究人员在受控环境中成功展示了这些功能，展示了蠕虫如何潜入生成式 AI 生态系统并窃取数据或传播恶意软件。 “Morris II”AI 蠕虫尚未在现实环境中被发现，研究人员也未在公开提供的电子邮件助手上对其进行测试。
他们发现可以在文本提示和图像文件中的嵌入式提示中使用自我复制提示。
在演示文本提示方法时，研究人员写了一封包含对抗性文本提示的电子邮件，使用检索增强生成 (RAG) “污染”了 AI 电子邮件助手的数据库，这使得 LLM 能够获取外部数据。RAG 收到电子邮件并将其发送给 LLM 提供商，该服务商生成的响应绕过了 AI 服务的限制，从电子邮件中窃取了数据，然后在 LLM 用于回复其他客户端发送的电子邮件时感染了新的主机。
研究人员在使用图像时，将自我复制提示编码到图像中，从而使电子邮件助手将消息转发到其他电子邮件地址。图像既是内容（垃圾信息、诈骗、宣传、虚假信息或滥用材料），也是传播蠕虫的激活有效载荷。
然而，研究人员表示，随着 AI 系统变得日益先进和互联，这代表了一种新型网络安全威胁。该实验室制造的恶意软件只是揭露基于 LLM 的聊天机器人服务漏洞的最新事件，表明这些服务极易被利用实施恶意网络攻击。
OpenAI 已经承认存在该漏洞，并表示正在努力使其系统能够抵御此类攻击。
随着生成式 AI 变得越来越普遍，恶意行为者可以利用类似的技术来窃取数据、传播错误信息或大规模破坏系统。它还可能被外国国家行为者用来干涉选举或煽动社会分裂。
我们显然正迈入一个新时代：AI 网络安全工具（AI 威胁检测和其他网络安全 AI）已成为保护系统和数据免受网络攻击的核心关键环节，但当它们被网络攻击者使用时，也会构成风险。
现在是时候采用 AI 网络安全工具，并确保可能被用于网络攻击的 AI 工具的安全了。