全球首个AI蠕虫面世:可在AI系统之间自动传播

安全侠2024-03-05 16:48:52

研究人员开发出首个第一代生成式AI蠕虫,名为 “Morris II”,它能够自动在AI系统之间传播。


这种新型网络攻击,让人回忆起1988年对互联网造成重大破坏的初代Morris 蠕虫的,凸显了网络安全威胁局势中的一个潜在变化。


这项研究由康奈尔大学纽约科技校区研究员 Ben Nassi与另外两名研究员 Stav Cohen 和 Ron Bitton 共同牵头开展,展示了该蠕虫的能力即渗透生成式AI邮件助手、提取数据和分垃圾邮件,从而攻陷声名鹊起的AI模型如 ChatGPT 和 Gemini 的安全措施。


生成式AI的崛起和漏洞的增多


随着生成式AI系统如 OpenAI 公司的 ChatGPT 和谷歌 Gemini 变得越来越强大且集成到多种应用中,这些系统被利用的可能性也在不断提升。


研究人员创建的 Morris II 蠕虫凸显了利用AI生态系统互联性和自动化的新型网络威胁。媒体Wired报道称,首批生成式AI蠕虫已开发完毕。这些蠕虫可能会从一个系统传播到另一个系统,甚至可能在此过程中窃取数据或部署恶意软件。通过应用对抗性自复制提示,该蠕虫可通过AI系统进行传播,劫持这些系统执行未授权操作如数据盗取和恶意软件部署。


这类蠕虫影响深远,为依赖于生成式AI系统的初创企业、开发人员和技术公司带来重大风险。该蠕虫能够躲避检测,在不同的AI系统中自动传播,这就为网络攻击引入一个新的向量,为现有的安全模型带来挑战。


安全专家和研究人员强调了这些攻击的合理性以及开发社区认真对待这些威胁的紧迫性。


缓解威胁


尽管AI蠕虫潜力强大,但安全专家认为传统的安全措施和谨慎的应用设计可缓解这些风险。


从事AI企业安全业务的威胁研究员 Adam Swanda 提倡安全的应用设计和AI运营中人工疏忽的重要性。越权风险可通过确保AI系统不会在未获得明确同意的情况下执行操作会得到大大减少。另外,监控异常模式如在AI系统中的重复性提示有助于在早期检测到潜在威胁。


Ben Nassi及其团队还强调了创建AI助手的开发人员和企业意识提升的重要性。了解这些风险并执行健壮的安全措施对于防止生成式AI系统的利用至关重要。


这一研究呼吁AI开发社区在设计和部署AI生态系统中优先考虑安全的重要性。Morris II蠕虫的开发是评估网络威胁流程中的重要时刻,强调了生成式AI系统的内在漏洞。随着AI对技术和日常生活的影响日益加剧,全面的安全策略也变得愈发重要。通过提升意识和采取主动的安全措施,AI开发社区可防御AI蠕虫的威胁并确保生成式AI技术能得到安全、负责任的使用。


原文链接


https://gbhackers.com/created-ai-worm/

网络安全蠕虫
本作品采用《CC 协议》,转载必须注明作者和本文链接
网络安全公司 Palo Alto Networks 近日发布博文,发现了使用 Rust 语言编写的恶意软件--P2PInfect 蠕虫。设计准则为“安全、并发、实用”,支持函数式、并发式、过程式以及面向对象的编程风格。Rust 业内共识是“安全”,微软目前正基于该语言,重新编译?系统内核,以进一步提高 Win11 系统的安全性。
近日,网络安全专家近日在Windows平台上发现了一个代码执行漏洞,并将该漏洞追踪编号为CVE-2022-37958,允许攻击者在没有身份验证的情况下执行任意恶意代码。据了解,该漏洞与利用Windows操作系统WannaCry漏洞的蠕虫病毒相似,但这个新的漏洞可以利用更多的网络协议,而不是像WannaCry一样仅能使用SMB协议, 这意味着它将能够更为迅速的感染其他设备,存在更大的安全风险。
过往的经验告诉我们,永远不要忽视在线安全
研究人员开发出首个第一代生成式AI蠕虫,名为 “Morris II”,它能够自动在AI系统之间传播。
网络安全头条
2023-03-22 10:41:32
据悉,背后作案的黑手是Play勒索软件团伙。据悉,Play 勒索软件组袭击了荷兰海运物流公司Royal Dirkzwager。黑客入侵后法拉利拒绝支付赎金日前,意大利汽车制造商法拉利公司在其网站上发布一则消息,表示近日遭到了不明来源的黑客攻击。此次黑客攻击事件导致部分客户个人信息遭到泄露,目前黑客威胁公司支付赎金,否则将公布客户信息。
上周末,微软披露在多个行业的数百家企业的网络中发现了一种Windows蠕虫病毒。
英国、意大利、俄罗斯等全球100多个国家爆发比特币勒索病毒攻击,我国教育网大量用户也出现感染情况,学校用户电脑文件被病毒加密,只有支付赎金才能恢复。
根据《计算机欺诈与滥用法》,Tappan Morris被判有罪,并被处以1万美元罚款、400小时社区服务和3年有期徒刑。目前,PCI DSS合规标准已被全球的金融机构采用并实施,以保护其支付系统和敏感数据,远离在线交易和信用卡欺诈及盗窃。ISO 27001合规标准涉及的控制措施帮助全球各大公司企业有序开展网络安全建设工作,制定可靠的治理战略,以防范网络安全威胁。
本文将对网络安全攻击的发现、网络攻击的途径、网络攻击的手法、网络攻击防护建议以及如何制定应急响应计划等进行分析和介绍。
安全侠
暂无描述