Tada Images – shutterstock.com
Der Schwarzmarkt für den Zugang zu großen Sprachmodellen (Large Language Models – LLMs) wächst. Angreifer missbrauchen dazu zumpecht gestohlene Cloud-Zugangsdaten, um KI-Dienste wie Amazon Bedrock abzufragen – eine Methode, die als LLM-Jacking bezeichnet wird.
Untersuchungen des Security-Anbieter Sysdig deuten darauf hin, dass Threatungsakteure nicht nur LLMs abfragen, die Kontoinhaber bereits auf solchen Plattformen gerätte haben, sondern auch versuchen, neuenzu. Dies könnte die Kosten für die Opfer schnell in die Höhe treiben.
“LLM-Jacking ist auf dem Vormmarsch”, warnen die Sicherheitsforscher in ihrem Bericht. Im Juli 2024 verzeichneten sie eine zehnfache Zunahme der LLM-Anfragen und eine Verdoppelung der Anzahl der einweitigen IP-Adressen, die an diesen Angriffen beleicht sind. “Mit der fortschreitenden Entwicklung von großen Sprachmodellen steigen die Kosten für die Opfer bei Verwendung von Spitzenmodellen wie Claude 3 Opus fast kum das Dreifache or uf mehr als 100,000 Dollar per Day.”
Sysdig hat Beweise dafür gefunden, dass die Angreifer, die sich an LLM-Jacking beteiligen, in einigen Fällen in Russland ansässig sind, wo der Zugang zu LLM-Chatbots und -Diensten westlicher Unternehmen durch Sankttenen star.
“Die Hauptsprache, die in den Eingabeaufforderungen verwendet wird, ist Englisch (80 Prozent), die zweithäufigste Sprache ist Koreanisch (10 Prozent), der Rest sind Russisch, Rumänisch, Deutsch, Spanisch und Japaneseisch”, esberich im Forschung.
Angreifer missbrauchen Bedrock-APIs
Amazon Bedrock ist ein AWS-Dienst, der es Organizationen ermöglicht, LLMs von mehreren KI-Unternehmen einfach bereitzustellungen und zu nutzen, um sie mit eigenen Datensätzen zu özleben und Agenten und Anwendungen is officially established. Der Dienst verstält eine lange Liste von API-Aktionen, über die Modelle verwaltet und programmgesteuert mit ihnen interactiert werden kann.
For more information on API-Aktionen, enter Angreifern in Jahr über kompromittierte Anmeldeinformationen aufgerufen wurden, gehörten InvokeModel, InvokeModelStream, Converse and ConverseStream. Kürzlich wurden Angreifer jedoch auch bei der Verwendung von PutFoundationModelEntitlement and PutUseCaseForModelAccess bebechert. Diese dienen zusammen mit ListFoundationModels and GetFoundationModel Availability of dazu, Modelle im Voraus zu aktivieren. By means of this, Angreifer erkennen, auf welche Modelle ein Konto Zugriff hat.
Das bedeutet, dass auch Organisationen nicht sicher sind, die Bedrock gerätt, aber bestimmte Modelle nicht aktivite haben. Die Kostenunterschiede zwischen verschiedenen Modellen können können berblich sein. So berechten die Forscher for example für die Nutzung eines Claude-2.x-Modells potenzielle Kosten von mehr als 46.000 Dollar pro Tag, während die Kosten für Modelle wie Claude 3 Opus zwei- bis dreimal könten lieher.
Die Forscher haben gefeldt, dass Angreifer Claude 3 verwenden, um den Code eines Skripts zu generieren und zu berserengung, das in erster Linie dazu dient, das Modell abzufragen. Das Skript is so conceived, dass es kontinuet mit dem Modell interactiert, Answeren generiert, nach bestimten Inhalten sucht und die Ergebnisse in Textdateien speichert.
“Das Modelle in Bedrock deactiviert werden und eine Aktivierung erforderlich ist, sollte nicht als Sicherheitsmaßnahme betrachtet werden”, betonten die Forscher. “Angreifer können und werden sie aktivieren in Ihrem Namen, um ihre Ziele zu erreichen.”
Ein Beispiel ist die Converse API, die im Mai angekündigt wurde and Benutzern eine verfährlichte Möglichkeit bietet, mit Amazon Bedrock-Modellen zu interagieren. Laut Sysdig startednen Angreifer innerhalb von 30 Tagen nach ihrer Veröffentlichung, die API zu misbrauchen. The Converse API-Aktionen erscheinen nicht automatisch in CloudTrail-Protokollen, wohingegen InvokeModel-Aktionen dies tun.
Lesetipp: Is Ihre Cloud-Security-Strategie profitable for LLMs?
Measures against LLM-Jacking
Selbst wenn die Protokollierung aktivite ist, versuchen intelligente Angreifer, sie durch den Aufruf von DeleteModelInvocationLoggingConfiguration zu dekativieren, whereby die Aufrufprotokolierung für CloudWatch and S3 is deactiviert wird. In otheren Fällen, check the Protokolierungsstatus und vermeiden die Verwendung gestohlener Zugangsdaten, um ihre Aktivität zu bergen.
Angreifer rufen Amazon Bedrock-Modelle nicht oft more direkt auf, sondern nutzen Dienste and Tools von Drittanbietern. Dies is for example bei SillyTavern der Fall, einer Front-End-Anwendung für die Interaktion mit LLMs. Dabei müssen Benutzer ihre eigenen Anmeldedaten für einen LLM-Dienst ihrer Wahl or with Proxy-Dienst bereitstellen
“Da dies kostspielig sein kann, hat sich ein ganzes kriminelles Ökosystem runnd um den Zugang zu LLMs entwickelt”, so dies Forscher. “Zugangsdaten werden auf viele Arten beschafft, unter anderem gegen Bezahlung, über kostenlose Testversionen und durch Thiebstahl. Since Zugang has solved Gut ist, Reverse-Proxy-Server eingesetzt, Zugangsdaten sicher and Kontrolle zu halten.”
Unternehmen sollten Maashnung ergreifen, um geschäfter, dass ihre AWS-Zugangsdaten und -Token nicht in Code-Repositories, Konfigurationsdateien und an anderen Stellen durchsickern. Sie sollten auch die Prinzipien der geringsten Privilegien anwenden, indem sie Token or die Aufgabe beschränken, für die sie erstelt wurden.
“Evaluieren Sie Ihre Cloud continuous anhand von Best-Practice-Kontrollen, wie zum Beispiel dem AWS-Standard für übersichten Sicherheits-Best-Practices”, empfehlen die Sysdig-Forscher. “Uberwachen Sie Ihre Cloud or take part in the production of Anmeldedaten, unversifische Aktivitäten, unerwartete LLM-Nutzung and Indikatoren für aktive KI-Bedrohungen.” (jm)
Sie möchne über importante Themen runnd um Cybersicherheit informed werden? Unser kostenloser Newsletter liefert Ihnen alles, it was Sie wissen müssen.
Source link