LLM 服务正受到黑客的攻击,他们希望出售私人信息
使用云托管的大型语言模型 (LLM) 可能非常昂贵,这就是为什么黑客显然已经开始窃取和出售这些工具的登录凭据。 网络安全研究人员 Sysdig 威胁研究团队最近发现了一项此类活动,并将其称为 LLMjacking。 在其 报告Sysdig 表示,它观察到一个威胁行为者滥用 Laravel 框架中的漏洞,该漏洞被追踪为 CVE-2021-3129。 该缺陷使他们能够访问网络并扫描其以获取 LLM 服务的 Amazon Web Services (AWS) 凭证。 新的虐待方式 研究人员在报告中解释说:“一旦获得初始访问权限,他们就会窃取云凭据并获得对云环境的访问权限,并尝试访问云提供商托管的本地 LLM 模型。” “在这种情况下,Anthropic 的本地 Claude (v2/v3) LLM 模型成为目标。” 研究人员能够发现攻击者用来生成调用模型的请求的工具。 其中有一个 Python 脚本,用于检查十项人工智能服务的凭据,并分析哪一项有用。 这些服务包括 AI21 Labs、Anthropic、AWS Bedrock、Azure、ElevenLabs、MakerSuite、Mistral、OpenAI、OpenRouter 和 GCP Vertex AI。 他们还发现,攻击者在验证阶段没有运行任何合法的 LLM 查询,而是“足够”地找出凭据的功能以及任何配额。 在其新闻报道中, 黑客新闻 表示,这些发现证明,除了通常的快速注入和模型中毒之外,黑客正在寻找新的方法来武器化法学硕士,通过将法学硕士的访问权货币化,同时将账单邮寄给受害者。 订阅 TechRadar Pro 时事通讯,获取您的企业成功所需的所有热门新闻、观点、功能和指导! 研究人员强调,这笔费用可能相当大,法学硕士每天的费用高达 46,000 […]