Атаки за отказ от портфейл: Източване на ресурси чрез злоупотреба с GenAI

Интегрирането на генеративния изкуствен интелект (GenAI) в корпоративните работни процеси бележи ключов момент в еволюцията на бизнеса. Компаниите използват модели на големи езици (LLM), за да ускорят иновациите, да автоматизират сложни процеси и да отключат нови нива на ефективност. И все пак, тази мощна технологична вълна носи със себе си нов клас сложни заплахи. Сред най-коварните е атаката „Отказ от портфейл“ (DoW), злонамерена кампания, проектирана не за кражба на данни или срив на сървъри, а за систематично източване на финансовите ресурси на организацията. Чрез използване на ценовите модели, базирани на потреблението, на услугите на GenAI, нападателите могат да нанесат значителни парични щети, често без да задействат традиционните аларми за сигурност.

Да разгледаме сценарий: злонамерен човек идентифицира фин недостатък в публичния инструмент за поддръжка на клиенти на компанията, базиран на GenAI. Като му подаде специално създадена подкана, той принуждава приложението да влезе в ресурсоемък цикъл, генерирайки дълги и сложни отговори. Всеки цикъл консумира токени за обработка и всеки токен се добавя към месечната сметка на компанията от нейния доставчик на AI. Това, което започва като незначителна аномалия, бързо ескалира в пълномащабен финансов кръвоизлив. Това е ядрото на DoW атаката. Тази статия изследва механиката на тези атаки, сериозния финансов риск, свързан с GenAI, който представляват, и съвременните защитни стратегии, необходими за защита от неоторизирано използване на LLM и други форми на скъпоструваща експлоатация на GenAI.

Новата граница на финансовите киберзаплахи: Разбиране на DoW атаката

За разлика от традиционната атака за отказ от услуга (DoS), която има за цел да направи системата неизползваема за легитимни потребители, атаката DoW има различна цел: да използва собствените оперативни разходи на организацията срещу нея. Основата на тази заплаха се крие в икономическия модел на екосистемата GenAI. Големи доставчици като OpenAI, Google, AWS Bedrock и Anthropic обикновено таксуват клиентите си на база „плащане на потребление“, като таксуват за броя „токени“ – основните единици данни, които LLM обработва, консумирани по време на взаимодействие. Заявка с голям обем или сложна заявка изисква повече токени, което директно увеличава цената.

Атакуващите манипулират този модел чрез различни форми на злоупотреба с LLM токени. Те проектират входни данни, предназначени да увеличат потреблението, превръщайки предвидимата полезност във финансов пасив. Тази стратегия за причиняване на прекомерна употреба на токени може да парализира бюджета на GenAI за часове. Ключови техники включват:

• Ресурсоемки заявки: Атакуващите изпращат подкани, които принуждават модела да изпълнява изчислително скъпи задачи, като например писане на хиляди редове код, анализ на огромни документи или решаване на сложни математически проблеми.
• Рекурсивно подканване: Злонамерен потребител може да създаде вход, който кара LLM да влезе в цикъл, където собственият му изход става вход за следващата заявка, което води до експоненциален растеж на използването на токени.
• Автоматизирано заливане със заявки: Използвайки прости скриптове или рамки за автоматизация, злонамерен човек може да бомбардира крайна точка на GenAI с голям обем заявки, всяка от които води до малки разходи, които бързо се натрупват.

Когато тези методи се изпълняват едновременно в голям мащаб от множество източници, те се превръщат в разпределена DoW атака. Този координиран подход затруднява проследяването на атаката до един-единствен източник, което позволява изтичането на финансови средства да продължи без прекъсване. Тези атаки за потребление на токени са особено опасни, защото злонамерените заявки могат да изглеждат като легитимен трафик, заобикаляйки системи за сигурност, които не са проектирани да анализират намерението или въздействието върху ресурсите на дадено запитване.

Наръчник на атакуващия: Получаване на достъп и експлоатация на системи

Успешната атака „Отказ от портфейл“ често зависи от способността на нападателя да получи безпрепятствен достъп до ресурсите на GenAI на компанията. Мотивациите им варират - от чисто нарушаване на работоспособността до по-пресметната цел: получаване на неоторизиран безплатен достъп до LLM чрез отвличане на платената инфраструктура на друга организация. След като заобиколят първоначалните защити, те могат да експлоатират системата безнаказано.

Основна цел за атакуващите е API слоят. Усъвършенстваните нападатели търсят уязвимости, които им предоставят достъп до LLM backend, което им позволява да комуникират директно с модела и да заобикалят протоколите за безопасност, системните подкани и контролите за използване, вградени в приложението, насочено към потребителя. Това ниво на достъп им дава пълна свобода да извършват скъпоструващи операции. Разпространена техника за постигане на това е „LLMjacking“, при която атакуващите използват откраднати API ключове или компрометирани нечовешки идентификационни данни, за да организират неоторизирано използване на LLM. Изследванията показват, че след като идентификационните данни бъдат откраднати, атакуващите първо извършват разузнаване, за да видят кои AI модели са налични, преди да започнат атаката си, като внимателно планират как да увеличат максимално щетите или полезността.

За да увеличат усилията си, нападателите се фокусират върху постигането на заобикаляне на ограниченията на скоростта. Доставчиците на API внедряват ограничения на скоростта, за да предотвратят претоварването на услугата с твърде много заявки за кратък период от време от един потребител или IP адрес. Решителните нападатели обаче използват няколко метода за заобикаляне на тези защити, като например разпределяне на заявки в ботнет от компрометирани устройства или използване на техники за манипулиране на заглавките, за да подведат сървъра да нулира брояча на заявките. Преодоляването на тези ограничения е критична стъпка за стартиране на мащабна, финансово опустошителна атака.

Оценка на истинската цена: Каскадата от финансов риск на GenAI

Щетите от DoW атака далеч надхвърлят първоначалната, шокираща фактура от доставчик на облачни услуги. Крайното въздействие е каскада от финансови, оперативни и репутационни щети. Най-непосредствената последица от неконтролираното потребление на токени е изчерпването на бюджета, което директно води до недостъпност на услугата. Когато месечният или тримесечният бюджет за услуга на GenAI се изчерпи, услугата често се спира автоматично, нарушавайки критични бизнес функции, които зависят от нея, от инструменти за вътрешна производителност до чатботове, насочени към клиентите.

Това въвежда значителен риск от потребление на ресурси, който трябва да се управлява като основен проблем за непрекъснатостта на бизнеса. Всеки отдел, от маркетинга до разработването на продукти, може да използва GenAI, а внезапното спиране може да спре проектите и да повлияе на приходите. Оперативните смущения се утежняват от факта, че екипите по сигурността трябва да пренасочат вниманието си към разследване и отстраняване на инцидента, изтегляйки ресурси от други критични инициативи.

Този риск се усилва от широко разпространения проблем с „Shadow AI“, при който служителите използват несанкционирани инструменти с изкуствен интелект чрез лични акаунти. Проучване на LayerX установи, че 67% от влизанията в инструменти на GenAI в корпоративна среда се извършват чрез лични акаунти. Това създава огромно сляпо петно, тъй като тези взаимодействия изцяло заобикалят корпоративните контроли за сигурност. Служител може неволно да използва несигурен инструмент на трета страна, който се превръща във вектор за DoW атака, или компрометиран личен акаунт може да бъде използван за злоупотреба със санкционираните услуги с изкуствен интелект на компанията, като всичко това допринася за риска от неоторизирано използване на LLM.

Защо традиционната сигурност е недостатъчна и необходимостта от нова парадигма на отбраната

Старите решения за сигурност са фундаментално зле подготвени да се защитават от атаки от типа „Отказ от портфейл“. Инструменти като защитни стени, защитени уеб шлюзове и дори много брокери за сигурност на достъпа до облак (CASB) работят на ниво мрежа или идентичност на приложението. Те могат да видят, че потребителят осъществява достъп до санкциониран инструмент като ChatGPT, но нямат представа за спецификата на взаимодействието в рамките на криптираната сесия на браузъра. Те не могат да анализират съдържанието на подкана, за да определят дали е предназначена да предизвика прекомерна употреба на токени или дали служител поставя чувствителни данни.

Тъй като тези атаки често имитират легитимно потребителско поведение, само че с по-голям обем или с по-голяма сложност, те не задействат предупреждения в традиционните системи за откриване на аномалии. Заявките са валидни, потребителите могат да бъдат удостоверени и дестинацията е одобрено приложение. Стекът за сигурност е сляп за контекста и намерението на взаимодействието, където се крие истинският риск. За да се бори ефективно с тези заплахи, сигурността трябва да се измести от мрежата към последната миля от потребителското пътуване: самия браузър.

Проактивна защита с LayerX: Защита на GenAI от финансова експлоатация

LayerX осигурява надеждна защита срещу атаки от типа „Отказ от портфейл“, като осигурява основния интерфейс за взаимодействие с GenAI: браузъра. Разширението за браузър LayerX Enterprise предоставя подробна видимост и контекстуален контрол, необходими за неутрализиране на тези заплахи, преди те да могат да причинят финансови щети. Чрез анализ на всяко потребителско взаимодействие с всяко уеб-базирано приложение или инструмент на GenAI, LayerX може да идентифицира и смекчи пълния спектър от рискове.

Този подход, ориентиран към браузъра, позволява на екипите по сигурността да прилагат подробни политики, които директно противодействат на техниките, използвани при атаки, целящи консумация на токени. Например, администраторите могат да установят правила за:

• Предотвратяване на прекомерната употреба на токени: Задайте ограничения за дължината или сложността на подканите, които могат да бъдат изпращани към GenAI платформи.
• Блокиране на високорискови поведения: Откриване и прекратяване на сесии, при които потребителите се опитват да изпращат рекурсивни подкани или да участват в други форми на злоупотреба с LLM токени.
• Неутрализиране на скрит AI: Открийте всички инструменти на GenAI, използвани в цялото предприятие, включително несанкционираните, и прилагайте последователни политики за сигурност, за да предотвратите неоторизирано използване на LLM.
• Намаляване на вътрешния риск: Предотвратете поставянето на големи обеми данни или чувствителна информация от служителите в подканите на GenAI, като по този начин предпазвате както от изтичане на данни, така и от случайно потребление на ресурси.

С LayerX организациите получават цялостна представа за повърхността, върху която са изложени атаките на GenAI. Екипите по сигурност могат да видят не само кои инструменти се използват, но и как се използват, от кого и с какви данни. Това позволява създаването на проактивни политики, които съгласуват използването на GenAI с бизнес нуждите и бюджетните реалности, гарантирайки, че тази трансформираща технология може да бъде внедрена безопасно и устойчиво.

Тъй като предприятията продължават да интегрират GenAI все по-дълбоко в своите операции, финансовите стимули за нападателите да стартират атаки от типа „Отказ от портфейл“ само ще се увеличат. Уникалният финансов риск за GenAI, породен от тези заплахи, изисква промяна на парадигмата в мисленето за сигурност. Проактивните, контекстно-осъзнати защити, които работят на ниво браузър, вече не са задължителни, а са от съществено значение за защита на ресурсите на организацията и гарантиране, че инвестициите ѝ в ИИ водят до иновации, а не до финансов крах.