May 30, 2025
.svg)
あなたは午前3時に急に目が覚めます。
スマートフォンの表面が暗闇で小さな幽霊のように光り、悪夢のようなアラートが山積みになっています。
「異常なログインが検出されました:ドイツ、フランクフルト。」
「ハイリスクトランザクションが実行されました。」
「口座4440 00006 **** 900 引き落とされました:4万ドル。」
あなたはまばたきします。読み直したね。のろわずにはいられない。
そして思い浮かびました。ほんの数時間前、あなたの信頼できるAIアシスタントが、 ロビは、効率的で魅力的で、冷酷にデータ主導型の株式ポートフォリオのバランスを取り直していたのです。
でも今は?
ロビは悪党になった。侵害されただけじゃなくて、プログラムし直したんだ自動化された相棒が自動泥棒になりました。
これは空想科学小説ではありません。リスクは現実のものであり、十分に文書化されています。
ロビは単なるチャットボットではありません。彼は AI エージェント —今日の人工知能におけるピカピカの新機能。静かに座って質問を待つパッシブアシスタントとは異なり、ロビのようなエージェントは 自律性。
彼らは決定を下します。API を呼び出します。お金を移動してください。コードを実行してください。外部システムからデータを取り込む。そして、これらはすべてあなたが眠っている間に行われます。これは生産的に思えますが、犯罪のように思えるまでです。
彼らは、コーヒーを買うだけでなく、資金をモナコに送金することもできるインターンだと考えてください。落とし穴は?時々、彼らはあなたの命令と攻撃者の命令の違いを見分けることができません。
これらの例は理論上のものではありません。
パロアルトのセキュリティチームは、次のようなオープンソースのフレームワークを使用して真の投資アシスタントを構築しました クルーアイ そして AutoGenそして自らの創造物を倫理的にハックしたのです
結果は?身も凍るような、そして有益です。
攻撃者がユーザーのデジタル右手をカチカチという負債に変える方法は次のとおりです。
1。エージェントに勝る即時注入
攻撃者はシステムをハッキングする必要はありません。必要なのは、システムに正しい方法で話しかけることだけです。
巧妙に表現された文章をいくつか使えば、エージェントを騙して内部の指示を漏らしたり、機密データを漏らしたり、有害なタスクを実行させたりすることができます。丁寧に尋ねるだけです。
ジェダイのマインドトリックをコードと考えてみてください。
2。見た目が悪くないプロンプトによる認証情報の盗難
エージェントがPythonコードを実行できる場合(多くのエージェントが実行可能)、「list all files」などのプロンプトで、保存されている認証情報やアクセストークンを確認できます。アラームはありません。ファイアウォールはありません。巧妙なコマンドでスムーズに侵入できます。
3。他人のデータへの侵入
リクエスト内の ID を 1 つ変更する(たとえば、自分のアカウント番号を他人のものに変更する)と、エージェントはアクセスしてはいけないデータを盗み出してしまう可能性があります。これは BOLA (ブロークン・オブジェクト・レベル・オーソライゼーション) と呼ばれます。名前がつまらなくて、とてつもなく危険です。
4。AI ラッパーのクラシック SQL インジェクション
データベースを処理するエージェントは、他のアプリと同様に脆弱です。入力が適切にサニタイズされていないと、昔ながらのSQLインジェクションがテーブルをダンプすることがあります。今回は「View my transactions (トランザクションを表示)」という便利そうなリクエストを介してテーブルをダンプしてしまいます。
5。悪意のある Web サイトによる間接的なプロンプトインジェクション
最も不気味な手口の1つは、攻撃者がWebサイトに指示を埋め込むことです。エージェントは「金融ニュースを読む」ためにページにアクセスし、知らないうちにチャット履歴を攻撃者が制御するサーバーに送信します。ステルス、サイレント、サベージ。
AI エージェントを使用して構築している場合 — あなたが AI エージェントであるかどうかにかかわらず ビジネスリーダー、 開発者、または 人工知能研究者 —賭け金は見かけよりも高いです。
エージェントシステムは驚異的な効率を約束します。意思決定を自動化し、サービスを連携させ、人間のオペレーターよりも迅速に行動します。しかし、スピードと自律性は同じです。 攻撃対象領域を指数関数的に拡大。
にとって ビジネスリーダー、AIを活用したすべての意思決定には、法的および財務上の影響が伴います。攻撃を受けたエージェントは、ただ不具合を起こすだけでなく、行動を起こします。資金を移動させたり、データを漏洩させたり、現実世界への影響を大規模に引き起こしたりする可能性があります。これらのエージェントを保護することは、保護することです。 信頼、顧客、コンプライアンス。
にとって 開発者、CreWAIやAutoGenのようなエージェントフレームワークはエキサイティングですが、複雑でもあります。ツールインテグレーション、メモリコール、データベースフックはいずれも、攻撃者にとって潜在的なエントリポイントとなります。もはや行動をコーディングするだけではなく、リアルタイムでセキュリティを確保しているのです。
にとって 人工知能研究者、これが次のフロンティアです。このエージェントはおもちゃじゃないそれらは推論ループ、記憶、マルチエージェントコラボレーションを備えた複雑な自律システムです。彼らの行動は説明可能で、回復力があるものでなければならず、しかも 倫理的に制限された —製品ラインのインフラストラクチャになる前。
危険は理論上のものではありません。Palo Alto Networksは、単純な株式ポートフォリオアシスタントを操作して、いかにして資格情報の盗難、データ流出、不正取引を行えるかを、モデル自体を破ることなく実行できることを実証しました。脆弱性の原因は次のようなものです。 人間がエージェントを構築した方法。
目に見えない脆弱性 = 実際の損失
エージェントシステムは、API、データベース、コードインタープリター、クラウドリソースに接続できます。つまり、アプリのように悪用されたり、ユーザーのように操作されたり、サーバーのように乗っ取られたりする可能性があるということです。システムの一部が弱ければ、エージェント全体が崩壊してしまいます。
複雑さはコントロールの敵
エージェントが使用するツールが多ければ多いほど、誰が何に、どのようにアクセスできるかを追跡するのが難しくなります。Palo Alto のテストベッドでの悪用の多くは、ツールの設定ミスや入力のフィルタリングが行われていないことが原因でした。1 つのプロンプト。1 つのパラメータを忘れました。1 つの ID の微調整。必要なのはそれだけです。
コラボレーションにはリスクが伴う
マルチエージェントのセットアップでは、感染した1つのエージェントが他のエージェントに感染する可能性があります。プロンプトポイズニング、なりすまし、ツールの悪用は、マルウェアのようにエージェントエコシステム全体に広がり、自動化されていて安全だと思っていたプロセスを暗黙のうちに破壊してしまう可能性があります。
それで... ロビを直せる?
はい。しかし、それは単にいくつかのリークを塞ぐだけではありません。おおよその話です セキュリティの再考 ソフトウェアが意思決定を行える世界のために
🛡️ 専門家が推奨するもの:
パロアルトネットワークスのガイダンスに基づくと、強力な防御には以下が含まれます。
ロビは賢い。多分あなたより賢い。
しかし、スマートだからといって安全というわけではありません。
AIエージェントが独立して行動できれば、攻撃者もそれを介して行動できます。
だから、慎重に構築してください。防御的に設計してください。そして、Robi によってどれだけの労力が節約できたかを祝う前に、次のことを尋ねてください。 他の誰かがコントロールできたらどれくらいのダメージを与えられるかな?
自律型AIの新時代では、安全はオプションではないからです。夜通し眠れる唯一のチャンスです。
つながることで、他にはないインサイト、スマート AI ツール、行動を促すリアルなつながりを引き出すことができます。
チャットをスケジュールする フルエクスペリエンスのロックを解除するには
.jpg)
.svg)
私たちを信頼している6000人以上の業界幹部の仲間入りをしましょう。
私たちを信頼している6000人以上の業界幹部の仲間入りをしましょう。
何千人もの経営幹部から信頼されているニュースレターを購読してください。
.svg)
.svg)
.svg)
.svg)