過往針對AI機器人的資安威脅,多半鎖定AI助理或大型語言模型(LLM)下手,促使LLM誤判並執行攻擊者的惡意命令,現在有資安業者發現新的攻擊手法,可用於零點擊攻擊(Zero-Click Attack),過程完全無須使用者互動。
資安業者Operant AI揭露名為Shadow Escape的零點擊攻擊手法,可對於採用模型上下文協定(Model Context Protocol,MCP)的企業組織下手,因此無論他們採用的AI助理是ChatGPT、Claude,或是Gemini,都有可能曝險,這是首度專門針對MCP的攻擊手法。
Operant AI強調,Shadow Escape與一般的提示注入或是資料外洩有所不同,攻擊過程完全不需要使用者犯錯、網路釣魚攻擊,或是利用惡意瀏覽器延伸套件,這種手法濫用合法MCP連線授予AI助理的信任,將身分證字號、病歷號碼,以及其他能識別個人身分的資料(PII)顯示給任何與AI助理互動的人士,然後再透過隱形的零點擊命令將資料秘密偷走。
由於這種攻擊發生在企業的網路邊界及防火牆的內部,而且相當容易在標準的MCP組態及預設權限進行,所以,Operant AI認為,一旦有人發動實際攻擊,透過MCP外流的資料可能達到數兆筆,而且使用者或企業難以察覺資料外流的情況。
為了展示Shadow Escape手法的威力,Operant AI製作影片展示概念驗證(PoC),他們假設人力資源部門的員工從網路下載一份看似無害但經過變造的客服指引手冊PDF檔案,並上傳到ChatGPT,供新進客服人員搭配AI助理從事相關工作。
在這種情況下,客服人員的AI助理能尋找資料的範圍會受限在一定的條件,例如,僅能存取CRM與工單系統、存放知識庫的Google Drive或SharePoint,以及用於上傳事件記錄及追蹤成效的內部API。照理來說,客服人員只要將人資提供的手冊上傳到ChatGPT,就可以讓AI助理遵循規範的指引。
一旦客服人員要求AI助理從CRM找出客戶的資料摘要,AI助理為了進一步提供協助擴大提供資料範圍,此時就會透過MCP交叉比對多個資料庫,不斷增加提供資料的來源。
此時埋藏在PDF手冊檔案的惡意指令開始操縱AI助理,根據指令的提示向任何URL發出HTTP請求,並在使用者不知情的情況下,將上述過程的事件記錄資料及查詢得到的內部機密資料,透過MCP傳送至外部的惡意端點。
攻擊者為避免被察覺異狀,還會將輸出的資料偽裝成例行的績效追蹤,過程裡沒有使用者互動,不觸發任何資安系統警示,也不會被防火牆攔截。
Operant AI指出,企業普遍認為,通過身分驗證的AI流量是安全的,然而,在配置MCP的環境下,每個AI助理都繼承多種高權限的能力,例如:資料庫讀取與寫入、檔案上傳與API呼叫,以及跨網域內容傳播,所以導致Shadow Escape手法能夠奏效。若是員工在未經授權的情況下使用AI,還會讓上述情況變得更加嚴重。企業若要防範相關攻擊,Operant AI認為,必須從AI內部運作流程的控管著手。
熱門新聞
2025-12-12
2025-12-16
2025-12-15
2025-12-15
2025-12-15
2025-12-15
2025-12-16
