Il Nuovo Malware: Inganno delle App GenAI
Un worm che utilizza ingegneria dei prompt e iniezioni astute è in grado di ingannare le applicazioni di intelligenza artificiale generativa (GenAI) come ChatGPT per propagare malware e altro ancora. In un ambiente di laboratorio, tre ricercatori israeliani hanno dimostrato come un attaccante potrebbe progettare “prompt auto-replicanti avversari” che convincono un modello generativo a replicare l’input come output. Questi prompt possono essere utilizzati per rubare informazioni, diffondere spam, avvelenare i modelli e altro ancora. Hanno nominato il worm “Morris II”, in ricordo del famigerato malware auto-propagante di 99 righe che ha colpito un decimo di Internet nel 1988.
Dimostrazione in Laboratorio: Tecnica e Risultati
Come parte del loro esperimento, i ricercatori hanno creato un sistema di posta elettronica in grado di ricevere e inviare email utilizzando l’IA generativa. Come parte del team di attacco, hanno scritto una email con prompt che sfrutta la generazione con recupero aumentato (RAG) per contaminare il database email server ricevente. Quando l’email è stata recuperata dal RAG e inviata al modello GenAI, ha “sovvertito” il modello, costringendolo a esfiltrare dati sensibili e replicare il suo input come output, passando quindi le stesse istruzioni ad altri host lungo la catena.
Un Problema Antico con Nuove Tecniche: Continuità nella Minaccia
La maggior parte delle minacce più avanzate per i modelli AI oggi sono solo nuove versioni dei problemi di sicurezza più antichi nell’informatica. Gli hacker utilizzano i prompt GenAI per lo stesso effetto degli attacchi di iniezione SQL e simili, inserendo comandi aggiuntivi negli spazi di input del testo. Questo dimostra come, nonostante l’avanzamento della tecnologia, molti degli stessi concetti e metodi di attacco persistano nel tempo.
Soluzioni Future: Prospettive e Sfide
Gli sviluppatori di AI dovranno trovare un modo per garantire che i loro programmi non confondano l’input dell’utente con l’output della macchina. Una possibile soluzione potrebbe essere la suddivisione dei modelli GenAI in parti costituenti, in modo che i dati e il controllo non vivano uno accanto all’altro nello stesso grande sistema. Questo richiede un cambiamento di approccio nel modo in cui vengono progettati e implementati i modelli AI, ma potrebbe essere essenziale per proteggere la sicurezza dei dati e prevenire futuri attacchi malware di questo tipo.