Según un estudio SYSDIG, se está desarrollando el mercado negro para el acceso a los principales modelos de idiomas (LLM). En lo que ahora se llama llmjacking, los atacantes abusan de identificadores robados para cuestionar servicios de consultas de IA como Amazon Bedrock. Según las solicitudes de API observadas por SYSDIG, parece que los actores de amenaza cuestionan no solo el LLM que los propietarios de cuentas ya han desplegado en estas plataformas, sino que también intentan activar otros nuevos, lo que podría aumentar rápidamente los costos para las víctimas. "El LLMJacking en sí está aumentando: durante el mes de julio, las solicitudes de LLM se multiplicaron por 10 y en la primera mitad de 2024, el número de direcciones IP únicas involucradas en estos ataques ha sido multiplicada por 2", dijeron investigadores de la compañía de seguridad en un informe. "Con el aumento continuo en el desarrollo de LLM, el primer costo potencial para las víctimas es monetaria: por ejemplo, el uso de modelos avanzados como Claude 3 Opus casi puede triplicar el costo de hasta $ 100,000 por día.» »

Es para disfrutar de los juegos de roles, generar scripts, analizar imágenes y usar indicaciones textuales sin pagar y sin los límites normales impuestos por los servicios gratuitos a los que los atacantes desean acceder a la LLM. Sysdig ha encontrado evidencia de que, en algunos casos al menos, los usuarios que participan en LLMJacking tienen su sede en Rusia, donde las sanciones occidentales han impuesto límites severos en el acceso a los chatbots y servicios de LLM proporcionados por las empresas occidentales. "El idioma principal utilizado en los invitados es el inglés (80 %), el segundo, coreano (10 %), el resto es ruso, rumano, alemán, español y japonés", dijeron los investigadores.

Índice
  1. API de roca madre abusada
  2. Asegurar identificadores y tokens LLM como atenuación

API de roca madre abusada

El servicio de roca amazónica deAWS Permite a las empresas implementar y usar fácilmente LLM de varios proveedores de IA, enriquecerlos con sus propios conjuntos de datos y crear agentes y aplicaciones a su alrededor. El servicio admite Una larga lista de acciones de API Para administrar modelos e interactuar con ellos mediante programación. Las acciones de API más comunes llamadas por los atacantes a través de la información de identificación comprometida a principios de este año incluyeron Invokemodel, InvokemodStream, Converse y Conversionam. Pero recientemente, los investigadores también han visto que los atacantes abusaron de Putfoundation, por otro lado, y PutUsecaseFormodelAccess, utilizados para activar modelos, así como ListFoundationModels y GetFoundationModelavailebilty, para detectar los modelos en los que una cuenta de acceso. Esto significa que las empresas que han desplegado una base sin activar ciertos modelos no son inmunes.

La diferencia de costo entre los diferentes modelos puede ser sustancial. Por ejemplo, para el uso de un modelo Claude 2.x, los investigadores estimaron el costo potencial en más de $ 46,000 por día, pero para modelos como Claude 3 Opus, el costo podría ser dos o tres veces mayor. Los investigadores vieron a los atacantes que usaban Claude 3 para generar y mejorar el código de un script destinado a cuestionar el modelo en primer lugar. El objetivo del script es interactuar permanentemente con el modelo, generando respuestas, monitoreando contenido específico y registrando los resultados en archivos de texto. "La desactivación de los modelos en la roca madre y el requisito de activación no debe considerarse como una medida de seguridad", advirtieron los investigadores. "Los atacantes pueden activarlos en lugar del usuario y lo harán para lograr sus objetivos". Esto es lo que sucede, por ejemplo, con la API Converse, anunciada en mayo, que simplifica la interacción de los usuarios con los modelos de roca madre de Amazon. Según Sysdig, los atacantes comenzaron a abusar de API dentro de los 30 días posteriores a la publicación. También señalan que las acciones de Converse API no aparecen automáticamente en los periódicos de CloudTrail, a diferencia de las acciones de Invokemodel.

Asegurar identificadores y tokens LLM como atenuación

Incluso si se activa la periodización, los atacantes malignos intentarán desactivarla llamando a DeletemodelInvocationLoggingConfiguration, que desactiva la periodización de invocaciones para CloudWatch y S3. En otros casos, verificarán el estado de la periodización y evitarán usar información de identificación robada para ocultar su actividad. A menudo, los atacantes no llaman directamente a los modelos de roca madre de Amazon, sino que usan servicios y herramientas de tercera parte. Este es el caso, por ejemplo, SillyTavern, una aplicación frontal para interactuar con el LLM que les pide a los usuarios que proporcionen sus propios identificadores a un servicio LLM de su elección o a un servicio proxy. "Dado el costo significativo, se han desarrollado un mercado completo y un ecosistema en torno al acceso a LLM", advierten los investigadores. "La información de identificación se obtiene de diferentes maneras: pago, pruebas gratuitas o vuelo. Como este acceso es un producto precioso, los servidores proxy invertidos se utilizan para mantener la información de identificación en un lugar seguro y bajo control.» »

Las empresas deben tomar medidas para garantizar que sus identificadores y tokens AWS no se divulguen en estándares de código, archivos de configuración y en otros lugares. También deben aplicar el principio del privilegio más pequeño limitando los tokens a la tarea para la que fueron creados. "Las empresas deben evaluar constantemente su nube en comparación con los controles de postura para las mejores prácticas, como el estándar de las mejores prácticas de seguridad fundamentales de AWS", recomendaron los investigadores de SYSDIG. "Deben monitorear su nube para detectar información de identificación potencialmente comprometida, actividades inusuales, el uso inesperado de LLM e indicadores de amenazas activas dirigidas a AI.» »