安全公司警告黑客正瞄準(zhǔn)各大 AI 語(yǔ)言模型平臺(tái)用戶賬號(hào)，轉(zhuǎn)賣 API 余額 / 獲取隱私信息

IT之家 5 月 12 日消息，安全公司 Sysdig 近日發(fā)布報(bào)告，聲稱有大量黑客瞄準(zhǔn)各大 LLM 大語(yǔ)言模型網(wǎng)絡(luò)平臺(tái)發(fā)動(dòng)“LLM 劫持（LLMjacking）”攻擊，黑客通過(guò)一系列方式盜取用戶賬號(hào)密碼，將模型 API 轉(zhuǎn)賣給第三方，還從用戶的對(duì)話記錄中選取隱私信息用于勒索或公開(kāi)販?zhǔn)?/span>。

Sysdig 表示，黑客們似乎“偏好”Anthropic Claude v2 / v3 平臺(tái)，目前他們檢測(cè)到黑客主要利用撞庫(kù)及 PHP 框架 Laravel 的憑據(jù)漏洞（CVE-2021-3129）進(jìn)行攻擊，更多偏向企業(yè)用戶，不知情的受害者可能每天需要替黑客買單超過(guò) 4.6 萬(wàn)美元（IT之家備注：當(dāng)前約 33.3 萬(wàn)元人民幣）的 API 使用費(fèi)。

此外，先前也有安全公司發(fā)現(xiàn) Hugging Face 平臺(tái)存在 API 憑據(jù)漏洞，允許黑客獲取微軟 / 谷歌 / Meta 的令牌，從而控制多家知名公司的模型庫(kù)，目前 Hugging Face 已經(jīng)修復(fù)相關(guān)漏洞。

相關(guān)閱讀：

《AI 平臺(tái) Hugging Face 現(xiàn) API 令牌漏洞，黑客可獲取微軟、谷歌等模型庫(kù)權(quán)限》

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。