以往针对AI机器人的安全威胁,多半锁定AI助理或大型语言模型(LLM)下手,促使LLM误判并执行攻击者的恶意命令,现在有安全企业发现新的攻击手法,可用于零点击攻击(Zero-Click Attack),过程完全无需用户互动。
安全企业Operant AI披露名为Shadow Escape的零点击攻击手法,可对于采用模型上下文协议(Model Context Protocol,MCP)的企业组织下手,因此无论他们采用的AI助理是ChatGPT、Claude,或是Gemini,都有可能曝险,这是首度专门针对MCP的攻击手法。
Operant AI强调,Shadow Escape与一般的提示注入或是数据外流有所不同,攻击过程完全不需要用户犯错、网络钓鱼攻击,或是利用恶意浏览器延伸组件,这种手法滥用合法MCP连接授给AI助理的信任,将身份证字号、病历号码,以及其他能识其他人身份的数据(PII)显示给任何与AI助理互动的人士,然后再通过隐形的零点击命令将数据秘密偷走。
由于这种攻击发生在企业的网络边界及防火墙的内部,而且相当容易在标准的MCP组态及默认权限进行,所以,Operant AI认为,一旦有人发动实际攻击,通过MCP外流的数据可能达到数兆笔,而且用户或企业难以发现数据外流的情况。
为了展示Shadow Escape手法的威力,Operant AI制作视频展示概念验证(PoC),他们假设人力资源部门的员工从网络下载一份看似无害但经过变造的客服指引手册PDF文件,并上传到ChatGPT,供新进客服人员搭配AI助理从事相关工作。
在这种情况下,客服人员的AI助理能寻找数据的范围会受限在一定的条件,例如,仅能访问CRM与工单系统、存放知识库的Google Drive或SharePoint,以及用于上传事件记录及关注成效的内部API。照理来说,客服人员只要将人资提供的手册上传到ChatGPT,就可以让AI助理遵循规范的指引。
一旦客服人员要求AI助理从CRM找出客户的数据摘要,AI助理为了进一步提供协助扩大提供数据范围,此时就会通过MCP交叉比对多个数据库,不断增加提供数据的来源。
此时埋藏在PDF手册文件的恶意指令开始操纵AI助理,根据指令的提示向任何URL发出HTTP请求,并在用户不知情的情况下,将上述过程的事件记录数据及查询得到的内部机密数据,通过MCP发送至外部的恶意端点。
攻击者为避免被发现异状,还会将输出的数据伪装成例行的绩效关注,过程里没有用户互动,不触发任何安全系统警示,也不会被防火墙拦截。
Operant AI指出,企业普遍认为,通过身份验证的AI流量是安全的,然而,在配置MCP的环境下,每个AI助理都继承多种高权限的能力,例如:数据库读取与写入、文件上传与API调用,以及跨域名内容传播,所以导致Shadow Escape手法能够奏效。若是员工在未经授权的情况下使用AI,还会让上述情况变得更加严重。企业若要防范相关攻击,Operant AI认为,必须从AI内部运行流程的管控着手。
