Атакуващите използват големи езикови модели (LLM) в т.нар. експлойти за отвличане на LLM, като прехвърлят разходите за сметките за облак върху компании и физически лица.

През лятото на 2024 г. потребител на Amazon Web Services (AWS) забелязва скок в сметката си. Той получил предупреждение за разходите, което показвало, че разходите му, които обикновено били 2 долара на месец, са достигнали над 700 долара само за няколко часа, преди да се разтеглят до хиляди долари.

Това го накарало да осъзнае, че е станал мишена на нападатели, които са увеличили разходите му, като според съобщенията са използвали модела „Клод 3 Опус“.

Според Кристъл Морин, стратег по киберсигурност в базираната в САЩ компания за киберсигурност Sysdig, AWS коригирала сметката на потребителя. Морин е разбрала за случая, като се е свързала с потребителя, след като той е публикувал констатациите си в X.

Въпреки това много компании, които плащат десетки или хиляди долари за своя доставчик на облачни услуги всеки месец, може дори да не знаят, че киберпрестъпниците тихомълком използват LLM, в така наречения LLM hijacking exploit.

Подобно на криптоджакинга, когато компютър, заразен със злонамерен софтуер, се използва за добив на криптовалута, злонамерените актьори отвличат LLM, като крадат идентификационните данни на компаниите и получават достъп до облачната среда.

В неотдавнашно проучване екипът за изследване на заплахите на Sysdig установи, че нападателите вече са получили достъп до моделите V-3 и R1 само няколко дни след като китайският стартъп DeepSeek ги е пуснал.

„Те са разширили тактиката си. Смятаме, че искат да тестват какви модели могат да получат достъп и да използват и колко далеч могат да стигнат с всеки един от тях“, обяснява Морин.

Тя казва, че все повече компании започват да осъзнават заплахата. Наскоро Microsoft започна съдебни действия срещу „базирана в чужбина група от участници в заплахи“, която разработва сложен софтуер, използващ разкрити данни на клиенти от публични уебсайтове.

След като получат пълномощни за облачна услуга на дадена компания или получат API ключове с конкретни приложения, често в тъмната мрежа, нападателите изпълняват скрипт, за да установят дали пълномощните принадлежат на определен модел.

Според Морин те използват LLM за всякакви услуги – от заобикаляне на санкции и генериране на зловреден код до провеждане на ролеви игри.

Разходите за такова неразрешено използване могат да бъдат доста високи.

„Когато имате един или няколко нападатели, които постоянно използват вашия LLM, това може да стане много скъпо, много бързо“, казва Морин.

Атакуващите често използват OAI Reverse Proxy (ORP), който действа като обратен прокси сървър за LLM на различни доставчици. ORP може да се използва за заобикаляне на ограниченията за достъп, за избягване на ограниченията на скоростта и за прикриване на злонамерени дейности чрез маршрутизиране на заявките през сървър-посредник.

Sysdig установи, че DeepSeek-V3 е бил реализиран в ORP инстанция, хоствана на платформата с отворен код HuggingFace само няколко дни след пускането му. В един от екземплярите са открити 55 API ключа на DeepSeek, които вече са попълнени и се използват активно.

Морин казва, че DeepSeek може да се изпълнява на малка част от разходите в сравнение с други LLM. Изчисленията на Sysdig, използващи модела o-3 на OpenAI, показват, че месечните разходи за използване на Deepseek в облака могат да достигнат над 7000 долара, докато разходите за управление на модела GPT-4 могат да бъдат над 580 000 долара.

Морин отбелязва, че за нападателите може да е по-лесно да използват DeepSeek за злонамерени цели.

„Enkrypt AI открива повече рискове и токсичност при използването на DeepSeek, отколкото при други модели с изкуствен интелект, което означава, че има по-малко вградени предпазни огради. По същество DeepSeek дава на потребителите повече свобода да правят каквото си искат с подсказките си“.

Как да се защитите

Според Sysdig компаниите трябва да защитават своите облачни услуги не само заради разходите, направени от неоторизирано използване, но и заради възможността за изтичане на данни.

Ключовете за достъп са основен вектор на атака, затова компаниите трябва да се уверят, че ги защитават, като използват временни идентификационни данни и ротират ключовете за достъп.

Ако нападателят може да получи ключове за достъп или да компрометира удостоверенията, откриването на незаконното използване може да не е лесно.

„Това не е като други атаки, при които можете да зададете само един вид откриване. Всъщност това е много трудно“, казва Морин.

Един от начините за подпомагане на откриването на неразрешената употреба е чрез предупреждения с висока цена. Те не са активирани по подразбиране, така че компаниите трябва да ги активират ръчно.

Освен това екипите по сигурността трябва да наблюдават базовото използване в организациите. Аномалиите или огромните скокове могат да са знак, че тяхната облачна инфраструктура може да се използва от нападател, казва Морин.