“CopyPasta”攻擊表明即時注入可以大規模感染人工智能

黑客現在只需一個帶有陷阱的許可證文件就能將人工智能編程助手武器化，將開發者工具變成惡意代碼的靜默傳播者。 這是根據一份新報告報告來自網絡安全公司 HiddenLAYER，它展示瞭如何誘騙人工智能盲目地將惡意軟件複製到項目中。

這項概念驗證技術被稱為“CopyPasta許可證攻擊”，利用了AI工具處理LICensE.txt和README.md等常見開發者文件的方式。 通過在這些文檔中嵌入隱藏指令（或稱“即時注入”），攻擊者可以操縱AI代理在用戶不知情的情況下注入惡意代碼。

HiddenLayer 研究員兼報告作者 KennETH Yeung 表示：“我們建議在運行時採取防禦措施，以防止間接提示注入，並確保對文件進行的任何更改都經過徹底審查。”解密。

Yeung 解釋說，COPyPasta 被認為是病毒而不是蠕蟲，因為它仍然需要用戶操作才能傳播。 “用戶必須採取某種行動才能使惡意負載傳播，”他說。 .

儘管需要一些用戶交互，但該病毒旨在通過利用開發人員依賴人工智能代理處理常規文檔的方式來逃避人類的注意。

“CopyPasta 會將自己隱藏在 README 文件中不可見的註釋中，而開發人員通常會將這些註釋委託給 AI 代理或語言模型來編寫，”他說，“這使得它能夠以一種隱秘、幾乎無法察覺的方式傳播。”

CopyPasta 並非首次嘗試感染 AI 系統。 早在 2024 年，研究人員就提出了一種名為莫里斯二世旨在操縱人工智能電子郵件代理傳播垃圾郵件和竊取數據。 雖然該攻擊理論上的成功率很高，但由於代理能力有限，在實踐中失敗了，而且迄今為止，人工審核措施已阻止此類攻擊在野外發生。

雖然 CopyPasta 攻擊目前還只是實驗室概念驗證，但研究人員表示，它凸顯了人工智能助手如何成為不知情的幫兇攻擊.

研究人員表示，核心問題是信任。 人工智能代理被編程為將許可證文件視為重要文件，並且它們經常不加審查地執行嵌入的指令。 這為攻擊者利用漏洞打開了方便之門——尤其是在這些工具獲得越來越多的自主權之後。

CopyPasta 是近期一系列關於針對 AI 工具的快速注入攻擊的警告之後發布的。

7 月，OpenAI 首席執行官 Sam Altman警告該公司在推出 ChatGPT 代理時就曾警告過提示注入攻擊，並指出惡意提示可能會劫持代理的行為。 今年 8 月，Brave Software 也發出了類似的警告。 證明perplexity AI 瀏覽器擴展程序中存在提示注入缺陷，顯示 Reddit 評論中的隱藏命令如何導致助手洩露私人數據。