目前,“人工智能”工具风头正劲,甚至吸引了那些对传统软件或安全知识并不精通的用户——这为黑客及其他企图利用这些工具的人创造了各种新机会。一个新的研究团队发现了一种将提示注入攻击隐藏在上传图片中的方法。
提示注入攻击是一种向大语言模型或其他“人工智能”系统隐藏指令的手段,通常隐藏在人类操作者无法察觉的地方。这就像是计算机安全领域的“低语陷阱”。一个很好的例子是在电子邮件中隐藏网络钓鱼尝试:将纯文本设置为与背景相同的颜色,人类收件人无法阅读,但知道Gemini会总结文本内容。
由两人组成的Trail of Bits(比特痕迹)研究团队发现,这些指令也可以隐藏在图片中,使得文本对人眼不可见,但在图片为上传而压缩时,人工智能工具会揭示并转录这些文本。压缩及其带来的伪影并非新鲜事物。但结合当下隐藏纯文本信息的突然兴趣,它创造了一种新的方式,可以在用户不知情的情况下向大语言模型传递指令。
在Trail of Bits和BleepingComputer强调的示例中,一张图片被传送给用户,用户将其上传至Gemini(或使用类似安卓内置的“圈选即搜”工具),当谷歌的后台在“读取”前为节省带宽和处理能力而压缩图片时,隐藏的文本变得可见。压缩后,提示文本被成功注入,指示Gemini将用户的个人日历信息通过电子邮件发送给第三方。
要获取相对少量的个人数据,这需要大量的准备工作,并且完整的攻击方法和图片本身都需要针对被利用的特定“人工智能”系统进行定制。目前没有证据表明黑客在此之前已知晓这种特定方法,或在撰写本文时正积极利用它。但这说明了如何将相对无害的行为——比如用截图向大语言模型询问“这是什么?”——转变为攻击向量。
