近日,网络安全公司Trail of Bits的研究人员Kikimora Morozova和Suha Sabi Hussain公布了一种新型攻击方法。该攻击利用图像重采样的技术特性,在人眼不可见的图像中注入恶意指令,从而劫持大型语言模型(LLM)并窃取用户数据。
该攻击的核心在于图像重采样攻击。当用户上传图片到AI系统时,系统通常会为了效率和成本而自动降低图片分辨率。恶意图片正是利用这一过程:它在全分辨率下看似正常,但在经过双三次(bicubic)等重采样算法处理后,隐藏在图像特定区域的恶意指令会以可见的文本形式显现出来。
研究人员在实验中证实,这种攻击手段能够成功渗透多个主流AI系统,包括Google Gemini CLI、Vertex AI Studio、Google Assistant以及Genspark。在一次Gemini CLI的测试中,攻击者成功将用户的Google日历数据泄露至一个外部邮箱地址,而无需用户的任何确认。
Trail of Bits指出,尽管攻击需要根据每个LLM使用的特定重采样算法进行调整,但其攻击媒介的广泛性意味着更多未被测试的AI工具也可能存在风险。为帮助安全社区理解和防御此类攻击,研究人员已发布了一款名为Anamorpher的开源工具,用于创建此类恶意图片。
针对此漏洞,研究人员提出了多项防御建议:尺寸限制:AI系统应对用户上传的图片实施严格的尺寸限制。结果预览:在对图像进行重采样后,向用户提供即将传递给LLM的结果预览。明确确认:对于涉及敏感工具调用的指令(如数据导出),系统应要求用户进行明确确认。
研究人员强调,最根本的防御在于实施更安全的系统设计模式,以从根本上抵御此类即时注入(prompt injection)攻击。