Az OWASP MI-ügynök Top 10 – áttekintés
Az új keretrendszer tíz fő kockázattípust azonosított, külön az autonóm MI-rendszerekre:
1. Ügynök céljainak eltérítése (ASI01): Támadók megzavarják az ügynök céljait beszúrt utasításokkal.
2. Eszközök félrevezetett használata (ASI02): Az ügynök legitim eszközöket használ jogtalan vagy káros módon.
3. Azonosító- és jogosultság-visszaélések (ASI03): Meglévő bizalmi kapcsolatok, hozzáférések kihasználása.
4. Ellátási lánc sebezhetőségei (ASI04): Rosszindulatú MCP-szerverek és bővítmények támogatása.
5. Váratlan kódfuttatás (ASI05): Kártékony, ügynök által generált vagy futtatott kód.
6. Memória- és kontextusmérgezés (ASI06): Az ügynök emlékezetének befolyásolása a későbbi viselkedés érdekében.
7. Gyenge ügynökök közötti kommunikáció (ASI07): Rossz hitelesítés az ügynökök között.
8. Láncolt hibák (ASI08): Egyetlen hiba az egész rendszerben problémákat okoz.
9. Felhasználói bizalom kihasználása (ASI09): Az ügynök ajánlásaira támaszkodó felhasználók megtévesztése.
10. Öntörvényű, elszabadult ügynökök (ASI10).
Ami először apróságnak tűnt, most ökoszisztéma-szintű veszély lett, mivel ezek a kockázatok nem csak a generatív nyelvi modellek hibáira építenek, hanem az MI valódi, autonóm cselekvőképességére.
Példák valódi támadásokra
ASI01: Az ügynök céljának eltérítése
Támadók speciális utasításokat rejtettek rosszindulatú szoftverek kódjába, bízva abban, hogy MI-alapú biztonsági eszközök majd enyhébb besorolást adnak a megnyugtató mondatok miatt. Emellett 126 kártékony npm-csomagra bukkantak, ahol támadók kihasználták az MI-asszisztensek hajlamát arra, hogy nem létező, de reálisnak tűnő csomagneveket ajánlanak; a fejlesztők így akaratlanul malware-t telepítettek fel – ezt slopsquattingnak hívják.
ASI02: Eszközök félrevezetett használata
Egy esetben egy ártó szándékú kódmódosítás az Amazon Q-ban utasításokat adott a rendszernek, hogy állítsa vissza a felhőalapú erőforrásokat gyári állapotra, törölje a felhőfiók erőforrásait és felhasználókat – minden interakció és visszaigazolás nélkül. Több mint egymillió fejlesztő használta az érintett kiterjesztést az aktív idő alatt. Csak a szerencsének volt köszönhető, hogy nem okozott katasztrofális károkat.
ASI04: Ellátási lánc támadások
Már láthatók a kifejezetten MI-specifikus ellátási lánc sebezhetőségek is: egy e-mailes MCP-szerver minden levelet titokban továbbított egy támadónak. Egy másik esetben két visszacsatoló shellt helyeztek el egy csomagban, amely minden futtatáskor frissen töltötte le őket, így a letöltések száma elérte a 86 ezret, miközben a csomag statikusan nem tartalmazta a káros kódot.
ASI05: Váratlan kódfuttatás
Hibásan megírt Chrome-, iMessage- és Apple Notes-kiterjesztések lehetőséget adtak tetszőleges parancsok futtatására. Elég volt egy MI-asszisztenssel keresni az interneten, és egy támadó oldal átvette az irányítást az egész gép felett, megszerezve például SSH-kulcsokat vagy felhőelérést. A hibákat javították, de fontos, hogy minden bemenet potenciális támadási vektor, ha az MI-ügynök parancsokat hajt végre.
Mit lehet tenni?
Az OWASP MI-ügynök Top 10 világos fogalomrendszert ad ezeknek a kockázatoknak, segítve a koordinált védekezést. Azonban az ilyen támadások már most is aktívak – promptinjekciók, mérgezett MI-asszisztensek és rosszindulatú MCP-szerverek napi szinten fenyegetnek.
Hasznos lépések lehetnek:
– Tartsuk számon, pontosan milyen szerverek, bővítmények és eszközök futnak az MI-ügynökeinknél.
– Mindig ellenőrizzük a forrásokat, és csak ismert, aláírt csomagokat használjunk.
– Minden ügynök csak a szükséges jogosultsággal működjön, kerüljük a túlzott hozzáféréseket.
– Ne csak a kódot vizsgáljuk, hanem az ügynökök valós viselkedését is monitorozzuk.
– Legyen gyors leállítási lehetőség vészhelyzet esetére.
A részletes védekezési javaslatok az OWASP dokumentumban találhatók – minden ügynökalapú MI-t alkalmazó szervezetnek ajánlott áttekinteni őket.
