Непрямой инъекционный ввод (indirect prompt injection) возможен на панелях мониторинга с поддержкой ИИ, что позволяет осуществлять эксфильтрацию конфиденциальных корпоративных данных без аутентификации пользователя.
Исследователи безопасности предупреждают о критической уязвимости в Grafana, получившей название GrafanaGhost, которая позволяет злоумышленникам утекать конфиденциальные данные из сред Grafana, включая финансовые показатели, данные о состоянии инфраструктуры, частные данные клиентов и операционные журналы, среди прочего.
Компания Noma Security сообщила об этой уязвимости команде Grafana, которая, как сообщается, подтвердила ее и выпустила исправление. Grafana не сразу ответила на запрос CSO о комментариях.
Grafana — это широко используемая платформа с открытым исходным кодом для визуализации данных и наблюдаемости, которая позволяет организациям отслеживать системы, приложения и бизнес-метрики в режиме реального времени. «GrafanaGhost прекрасно иллюстрирует, как интеграция ИИ создает огромное слепое пятно в безопасности», — заявил Рам Варадараджан, генеральный директор Activio. «Поскольку непрямой инъекционный ввод обходит традиционные средства защиты, не требуя учетных данных или взаимодействия с пользователем, он позволяет злоумышленникам незаметно эксфильтровать конфиденциальную операционную телеметрию».
Обман ИИ Grafana для утечки конфиденциальных данных
GrafanaGhost по сути не является одной ошибкой, а представляет собой цепочку эксплойтов, сочетающую несколько обходов логики приложения и защитных механизмов ИИ.
Атака начинается с определения точки внедрения — мест, где вводимые пользователем данные могут быть сохранены и позже обработаны компонентами ИИ Grafana. Исследователи Noma обнаружили, что специально сформированные пути, содержащие непрямые промпты, могут сохраняться в системе и позже интерпретироваться как допустимые вводы.
Далее злоумышленники используют методы непрямого инъекционного ввода для манипулирования ИИ с целью выполнения вредоносных инструкций. Модель обманом заставляют генерировать запросы, включающие конфиденциальные данные, при этом интерпретируя инструкции как безвредные.
В сообщении Noma говорится, что ключевой технический прорыв заключался в обходе защитных мер на стороне клиента, предназначенных для блокировки загрузки внешних изображений. Используя уязвимость в проверке URL-адресов, в частности, применяя протокольно-относительные URL-адреса вида //attacker.com, система ошибочно принимает вредоносные внешние ресурсы за безопасные, разрешая исходящие запросы к инфраструктуре злоумышленника.
Наконец, атака обходит сами защитные механизмы ИИ путем вставки специальных ключевых слов, таких как INTENT, в промпты, чтобы убедить модель в легитимности запроса. После обработки система пытается отобразить изображение, внедряя конфиденциальные данные в запрос, отправляемый на сервер злоумышленника.
Эта цепочка фактически обеспечивает автоматизированную эксфильтрацию данных с нулевым кликом, которая маскируется под обычный рабочий процесс панели мониторинга. Варадараджан отметил, что злоумышленники используют это слепое пятно, «используя системные компоненты именно так, как они были разработаны, но с инструкциями, которые модель не может проверить на вредоносность».
Реальный риск или раздутый пограничный случай?
Не все убеждены, что это открытие представляет собой новую угрозу. Брэдли Смит, старший вице-президент и заместитель главного директора по информационной безопасности в BeyondTrust, охарактеризовал лежащую в основе технику как «хорошо документированную», отметив, что непрямой инъекционный ввод, ведущий к эксфильтрации данных, является известным риском для всех платформ с поддержкой ИИ.
«Похоже, это в основном нагнетание», — сказал Смит, добавив, что «менее очевидной здесь является практическая возможность эксплуатации против защищенного развертывания Grafana со стандартными средствами сетевого контроля предприятия».
Тем не менее, Смит признал более широкие последствия. «Это не универсальный обход Grafana», — сказал он. «Это демонстрация того, что может произойти, когда компоненты ИИ обрабатывают недоверенный ввод без достаточных архитектурных мер контроля». Он добавил, что защита от воздействия может быть обеспечена путем определения подверженности GrafanaGhost путем проверки того, включены ли функции Grafana AI/LLM, установки исправлений до последней версии, ограничения «img-src» известными доменами и применения мер контроля исходящего трафика.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
