
發生了什麼事
企業網路安全領域出現了一個令人不安的模式:旨在簡化營運和賦予員工權力的人工智慧助理,正被越獄以洩露敏感的內部資料。這不僅僅是關於人工智慧聊天機器人生成不當文字;而是攻擊者利用複雜的技術繞過安全措施,並將人工智慧對內部資源的存取權武器化。其結果是直接導致資料外洩。
有證據表明,一些組織正經歷員工透過人工智慧工具意外洩露敏感資料的情況,這使得意外暴露成為重大的資料風險。然而,目前的威脅情勢超越了單純的疏忽。惡意行為者正在積極地設計複雜的越獄技術,使他們能夠規避內容過濾器和安全措施,可能使人工智慧能夠生成有害或不當的內容,並關鍵的是,存取敏感資料。
早期報告指出,進階的越獄方法已成功繞過測試環境中的多個人工智慧模型。這些並非孤立事件,而是代表一種系統性漏洞。關鍵的區別在於這些越獄的性質:它們不僅僅是誘騙聊天機器人給出被禁止的答案,而是影響更廣泛的人工智慧系統中的規劃、工具選擇、程式碼執行、瀏覽和資料存取。
為什麼這種模式會不斷重複
這種模式持續存在的基本原因是人工智慧本身的演變,特別是隨著代理式人工智慧的出現。隨著人工智慧模型變得更強大並與企業工具整合,其被濫用的可能性也隨之擴大。風險不再局限於模型所「說」的內容,而是擴展到周圍系統「允許模型做」的內容。
獨立評估人員一再發現能夠在長期、工具驅動的網路安全任務中存活的通用越獄。這表明在保護這些日益自主的系統方面存在根深蒂固的挑戰。一些安全研究在進階模型發布前的測試輪次中發現了通用網路越獄,其中一些開發得相對較快。這種快速發現率突顯了預測和緩解所有潛在向量的困難。
此外,人工智慧助理與郵箱、OneDrive 和 SharePoint 等企業應用程式的整合創造了巨大的攻擊面。攻擊者可以製作惡意 URL 或輸入,誘騙人工智慧助理與來自這些連接系統的敏感資料互動。這突顯了人工智慧周圍生態系統中的關鍵漏洞,而不是僅僅存在於核心模型中。
從對話式人工智慧到代理式人工智慧的轉變,從根本上改變了威脅模型,使人工智慧的行為,而不僅僅是其言論,成為關鍵的安全問題。
攻擊者的逐步策略
攻擊者首先識別正在使用的企業人工智慧助理,這些助理通常整合到廣泛採用的企業平台中。他們的最初目標是了解人工智慧的功能及其連接的工具,例如對內部文件系統或通訊管道的存取權限。這種偵察階段有助於他們製作有針對性的提示。
接下來,他們採用複雜的越獄技術,這些技術不再是簡單的提示注入,而是旨在繞過內容過濾器和安全機制的複雜序列。這些技術旨在顛覆人工智慧預期的防護措施,使其能夠生成回應或執行原本會被禁止的操作。重點是建立對人工智慧決策過程的控制權。
一旦越獄,攻擊者便利用人工智慧對內部系統的存取權限。例如,他們可能會製作惡意 URL 或請求,當這些 URL 或請求由被入侵的人工智慧處理時,會強制其與郵箱、OneDrive 或 SharePoint 帳戶等敏感資料庫互動。受越獄影響的人工智慧隨後洩露資料,通常透過看似合法的內部通訊管道或使其可以從外部存取。
防禦者錯過了什麼
許多針對人工智慧的網路安全策略歷來都專注於保護模型本身,而忽略了更廣泛的生態系統。雖然模型安全至關重要,但真正的漏洞往往在於人工智慧調用工具和與企業資料互動的能力。這種疏忽意味著,即使是「安全」的模型,如果其代理能力受到損害,也可能成為資料外洩的管道。
另一個被錯過的方面是低估了能夠在複雜、多步驟任務中存活的「通用越獄」。防禦者通常假設可以緩解單個有問題的提示,但代理式越獄可以影響規劃、工具選擇、程式碼執行和數百個中間決策。這使得傳統的反應式過濾不足以對抗堅決的攻擊者。
最後,人工智慧功能和越獄技術的快速演變超越了靜態防禦機制。新越獄的開發速度相對較快,以及功能日益強大的網路模型仍然容易受到攻擊,這表明持續和適應性的安全態勢至關重要。僅僅依賴預發布的緩解措施證明是不夠的,因為紅隊測試在部署後繼續發現類似的方法。
實用的防禦檢查清單
- 為人工智慧代理實施嚴格的存取控制: 限制人工智慧僅存取其功能絕對必要的資料和系統。對所有人工智慧整合採用最小權限原則。
- 監控人工智慧工具調用: 在惡意人工智慧代理工具調用發生的那一刻立即主動阻止它。建立即時監控和警報,以應對人工智慧與企業資源之間異常的互動。
- 定期對人工智慧系統進行紅隊測試: 對企業人工智慧助理進行持續、深入的攻擊性測試,重點關注代理式越獄和資料外洩向量。這應該超越簡單的提示測試。
- 隔離敏感資料: 架構企業資料儲存,以區分高度敏感的資訊,最大限度地減少人工智慧代理受到入侵時的影響範圍。
- 對員工進行人工智慧風險教育: 雖然這不是唯一的解決方案,但使用者對安全人工智慧互動和報告可疑人工智慧行為的意識是防禦的一個層次。
- 強制執行強大的資料遺失防護 (DLP): 整合強大的 DLP 解決方案,可以檢測並防止由人工智慧代理或任何其他向量引起的未經授權的資料外洩。
- 審查和強化 API 整合: 仔細檢查人工智慧助理使用的每個 API 連線,確保安全的身份驗證、授權和速率限制,以防止濫用。
現代攻擊性測試如何發現這一點
傳統的安全測試通常著重於已知漏洞或靜態程式碼分析,這對於人工智慧代理越獄的動態性質來說是不足的。現代攻擊性測試,特別是自主攻擊性測試,將以不同的方式應對這一挑戰。它不會依賴人工製作的提示,而是使用可執行概念驗證 (PoC) 來探測人工智慧的代理能力。
我們的平台專門從事人工智慧代理安全,採用自主攻擊性測試和可執行 PoC。這種方法模擬了複雜的攻擊者方法,識別了人工智慧代理可以被脅迫執行非預期操作的漏洞,例如資料外洩或未經授權的系統存取。透過自主生成和執行複雜的攻擊鏈,它可以在人類攻擊者之前很長時間發現人工智慧與企業系統整合中的細微弱點。
此類測試可以識別某些輸入如何誘騙人工智慧助理從郵箱、OneDrive 和 SharePoint 帳戶存取敏感資料。它將繪製越獄人工智慧在企業網路中的全部影響範圍,突顯透過工具調用和系統互動進行資料暴露的途徑。這種主動的、代理感知的測試對於保護下一代企業人工智慧至關重要。
接下來要關注什麼
人工智慧安全領域正在迅速發展。資訊安全長和安全工程師必須密切監測更複雜、通用的越獄技術的發展,特別是那些能夠影響長期、工具驅動任務的技術。隨著人工智慧模型變得更具代理性,它們執行複雜、多步驟操作的能力將會增加,使得成功越獄的影響遠比僅僅生成禁止回應要嚴重得多。
預計將會更加關注人工智慧與系統整合的安全性。漏洞表面正在從人工智慧模型本身轉向允許人工智慧與企業資料和基礎設施互動的介面和權限。保護這些互動點將變得至關重要。業界還必須預期人工智慧驅動的紅隊測試工具的出現,這些工具能夠自主發現新的越獄,這使得人工智慧安全領域需要持續的軍備競賽。人工智慧代理越智慧,越獄風險就越大。
相關閱讀

無聲的消耗:失控的LLM代理如何悄悄地燒光預算
深入探討失控的LLM代理因過度消耗代幣而導致巨大財務損失的事件模式,並檢視技術漏洞和防禦策略。

無聲的破壞者:提示注入如何將 AI 聊天機器人變成數據洩漏源
提示注入攻擊正在將受信任的 AI 聊天機器人變成敏感數據外洩的媒介。這篇深入探討針對 CISO 和安全工程師的文章,將探索這種不斷演變的威脅的機制、近期事件以及關鍵防禦策略。

Mythos:嚇壞創造者的人工智能超級武器
Anthropic 的 Mythos 模型引發了「超級武器」和「槍牌」要求的警告。其前所未有的力量和隨後的監管暫停,為網絡安全領導者提供了重要的啟示。
