逃逸是怎么实现的
攻击链的结构值得每个做 AI 功能的团队记笔记:平台给模型配了代码执行环境(跑分析、出图表都靠它),沙箱本该是铁笼,但研究者用精心构造的输入诱导模型生成特定代码,再利用执行环境的配置缺口完成逃逸。每一环单看都是已知问题,提示注入、沙箱配置、权限过宽,组合起来就是从一句用户输入直通数据平台内部的路径。而 Snowflake 这种平台上躺着的,是无数企业最核心的数据。
AI 功能正在重塑攻击面
这个案例的代表性在于它不是 AI 模型的漏洞,而是「AI 功能集成」的漏洞:模型本身没被攻破,被攻破的是围绕模型搭建的执行环境和权限设计。企业争先恐后给数据平台加 AI 能力,每一个「让 AI 直接操作数据」的功能都是新开的门。安全团队的检查清单需要更新:模型能调用什么、执行环境和生产数据隔离了吗、注入攻击测过吗。供应商的安全问卷也该加上这些问题,在签合同之前问,比在事故报告里读到答案便宜。
via: Hacker News