Posted in

EP 4 | AI安全真槍實彈:解析PromptLock、Deepfake與Perplexity Comet防禦策略

by SecBrief 資安簡報室0

AI安全事件簿:真槍實彈的威脅

在這個AI高速發展的時代,資安威脅已不再是紙上談兵,而是真槍實彈地影響著我們的生活與企業運作。本週我們將深入剖析幾個震撼性的AI資安事件,並探討企業與個人該如何在AI時代建立起堅實的防禦策略。

本集節目聚焦於三大AI資安事件,它們具體揭示了AI技術被濫用所帶來的風險:

1. Perplexity Comet瀏覽器漏洞:指令混淆的危機

    ◦ 事件概述: 以安全隱私著稱的Brave瀏覽器,揭露了新創公司Perplexity推出的AI瀏覽器Comet存在嚴重的「間接提示注入」風險。Comet作為一款代理型AI,能代替使用者進行點擊、填表、購物等操作。然而,攻擊者能將隱藏指令藏在網頁中,誤導Comet將外部內容誤認為使用者指令來執行。

    ◦ 核心問題:指令來源的混淆。 Comet無法嚴格區分指令是來自使用者還是惡意網頁內容。例如,駭客在Reddit內容中隱藏惡意指令,一旦使用者點擊,Comet便會照單全收,可能導致自動發送驗證信或在電商平台完成惡意註冊。這不是單一的Bug,而是架構層級的挑戰。

    ◦ 對企業的啟示: AI代理(AI agentic)應被視為新型態的「特權帳號」。企業需要為這些AI代理建立相應的管理機制,就像管理任何其他高權限帳號一樣。

2. Deepfake詐騙案:信任防線的崩潰

    ◦ 事件概述: 2024年2月,香港警方通報了一宗震驚全球,涉及約2億港元(2500萬美元)的Deepfake詐騙案。受害者在視訊會議中,誤信由Deepfake偽造的同事(包括財務長CFO),分15次將巨額款項匯出。英國工程顧問公司Arup隨後證實為受害公司。

    ◦ 威脅演進: 國際刑警組織的#ThinkTwice宣導指出,生成式AI與大型語言模型(LLM)正使詐騙活動趨向「專業化、規模化、低成本化」,形成成熟的犯罪供應鏈。傳統上,視訊會議被視為最後的防線,但如今已面臨失靈的風險。

    ◦ 立即對策:

        ▪ 零信任授權: 任何大額資金調撥都需至少「雙向驗證」,例如動態安全詞或視訊會議中的隱蔽口令。

        ▪ 紅隊演練與兵棋推演: 強化關鍵職位的臨場判斷能力。

    ◦ 對企業的啟示: AI冒充產業化已成常態,僅靠視訊會議無法保證真實性。企業應建立嚴格、可稽核的「多重複雜授權系統」,以取代肉眼判斷。

3. PromptLock勒索軟體:AI自我演化的威脅

    ◦ 事件概述: 資安大廠ESET於2024年8月揭露了首例透過「本地AI生成組件」運作的勒索軟體PromptLock。它利用受害者端本機的Ollama(一個本地LLM執行環境)呼叫gpt-oss-20b模型,即時生成惡意的LUA攻擊腳本。

    ◦ 攻擊特點: 這種勒索軟體以Golang實作,使用SPECK-128加密,生成的LUA腳本可在Windows、Linux、MacOS等多平台執行。由於每個惡意行為可能不同,傳統的「特徵碼偵測」將面臨失靈。ESET研判此為PoC及開發中階段。

    ◦ 防禦重點:

        ▪ 轉向行為監控: 防禦重心應從靜態檔案掃描轉移到「行為監控」(如EDR或XDR),偵測加密檔案程式被大量開啟、改寫,或本地LLM(Ollama)的異常資源消耗與網路行為。

        ▪ 最小權限與應用程式白名單: 降低攻擊爆發的半徑。

    ◦ 對企業的啟示: 若企業部署本地LLM(如Ollama),需警惕其異常調用。應建立監控機制,攔截非人為或異常的AI調用,防止其衍生惡意攻擊行為。

AI時代的資安防禦策略:從根源思考

面對這些新興的AI威脅,我們必須重新思考傳統的資安防禦框架。

1. 傳統框架為何失效?四大根本原因

    ◦ 身份 (Identity): AI在與你對話或替你做事時,網站看到的其實就是「你」。

    ◦ 權限 (Permissions): AI登入後所擁有的權限,就是「你的權限」。

    ◦ 信任 (Trust): AI目前無法有效辨識指令來源,可能將網頁內容誤作指令執行。

    ◦ 跨域 (Cross-Domain): AI能在不同服務(如MOMO與Gmail)間合法操作,使電商難以判斷操作者是真人還是AI。

2. 四大防禦政策:建立新的安全邊界

    ◦ 信任邊界 (Trust Boundary): 嚴格區分使用者指令與外部內容。對於敏感操作,應要求額外的身份驗證,如Face ID或指紋。

    ◦ 人工審批 (Manual Approval): 敏感性操作(如發送email或註冊帳號)必須經過人工再次確認,例如透過Face ID或指紋驗證。

    ◦ 最小權限與隔離 (Least Privilege & Isolation): 將「AI代理模式」與「一般瀏覽模式」明確區分。代理模式應設計最小授權,並在使用完畢後即時回收權限。

    ◦ 行為與意圖監控 (Behavior & Intent Monitoring): 持續比對AI的行為是否偏離了最初的任務設計。若AI嘗試執行未經授權的行為(例如預訂超出預算的餐廳),應立即阻斷。

3. 個人如何自保?警覺與謹慎是護身符

    ◦ 保持警覺: 不要讓AI進行廣義的操作,尤其避免其直接處理轉帳等敏感行為。

    ◦ 設定上限: 若要體驗AI的便利性,應導入類似「悠遊卡」的機制,設定最大損失金額,確保風險可控。

    ◦ 選擇信任品牌: 優先選擇注重安全研究和隱私保護的品牌(例如Apple在AI方面的謹慎態度)。

    ◦ 關閉非預期功能: 當AI出現非預期的使用行為時,應立即關閉相關功能或檢查其推播通知。

總體趨勢與未來展望

AI的攻擊趨勢正呈現「代理化」(AI冒充你)與「本地化」(利用本地LLM發動攻擊)的兩大變化。這要求我們必須建立更強大的防禦機制,包括明確的「信任邊界」、嚴格的「人工審核」、全面的「監控機制」,以及針對異常請求的「額外身份驗證」(如多因素驗證MFA)。

具備代理能力的AI是全新的攻擊向量。新的防禦策略必須包含信任邊界、人工審批、最小權限隔離與行為監控。對個人而言,警覺與謹慎永遠是最好的護身符。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *