Hitech logo

Кейсы

ИИ-агента можно уговорить перевести криптовалюту злоумышленникам

TODO:
Екатерина Шемякинская14 мая, 10:17

Агенты на базе ElizaOS — платформы с открытым исходным кодом, использующей большие языковые модели — способны выполнять блокчейн-транзакции от имени пользователя. Однако новое исследование показало, что такая архитектура уязвима для атак через «инъекцию подсказок». Злоумышленник может внедрить агенту ложные воспоминания простыми фразами в чате и заставить его, например, перевести криптовалюту на подставной счёт.

00
Самые интересные технологические и научные новости выходят в нашем телеграм-канале Хайтек+. Подпишитесь, чтобы быть в курсе.

Экспериментальная платформа ElizaOS использует большие языковые модели для создания агентов, способных совершать блокчейн-транзакции по поручению пользователя на основе заданных правил. Эта технология позволяет агентам подключаться к соцсетям и частным платформам, а затем взаимодействовать с пользователями и контрагентами, например, переводить платежи. Эксперты видят в ElizaOS потенциал для создания автономных агентов, взаимодействующих с DAO (децентрализованными автономными организациями, управляемыми через блокчейн) от имени пользователей.

«Если ИИ — это мозг робота, то RPA — его руки». Что умеют программные роботы

Если такие агенты будут контролировать криптовалютные кошельки, самоуправляемые контракты (смарт-контракты) или другие финансовые инструменты, это может привести к катастрофическим последствиям, показали исследования.

Злоумышленники могут использовать уязвимости, связанные с так называемыми «инъекциями подсказок», чтобы внедрять агентам ложные воспоминания о событиях, которых не было.

Разработанная исследователями атака «манипуляция контекстом» довольно проста. Авторизованный пользователь, взаимодействуя с агентом через Discord, сайт или другую платформу, вводит текст, похожий на обычные команды или записи о событиях. Эти фразы добавляют в память агента ложные сведения, которые затем влияют на его действия. Например, злоумышленник может представиться системным администратором и приказать агенту ElizaOS переводить криптовалюту только на определенный кошелек.

ElizaOS сохраняет всю историю общения во внешней базе данных, что обеспечивает своего рода «долговременную память», влияющую на все будущие действия. Злоумышленники вводят текст, который мог бы появиться при определенных командах или сделках. Таким образом создается ложная запись, которая заставляет агента игнорировать защиту. Ложное «воспоминание» внедряется, потому что агент не может отличить ввод, которому нельзя доверять, от подлинных инструкций, полученных от владельца ранее.

Уязвимость особенно опасна, потому что агенты ElizaOS обслуживают сразу многих пользователей, опираясь на общий контекст. Атака на данные одного из них может нарушить работу всей системы и вызвать цепную реакцию, которую сложно отследить.

Например, на Discord-сервере ElizaOS работают боты, помогающие участникам. Если злоумышленник исказит их контекст, это повредит не только отдельному пользователю, но и всему сообществу.

Создатель ElizaOS Шоу Уолтерс пояснил, что у агентов ElizaOS нет прямого доступа к ключам или кошелькам — они лишь вызывают инструменты с многоуровневой проверкой доступа. Сейчас проблему безопасности решают ограничением вызовов и контролем доступа, но с ростом возможностей агентов риски тоже возрастают.

Подобные атаки с внедрением «ложных воспоминаний» уже демонстрировались на ChatGPT и Gemini. ElizaOS пока находится на ранней стадии разработки, и потенциально могут появиться средства защиты.