0

کشف آسیب‌پذیری خطرناک HalluSquatting؛ وقتی هوش مصنوعی همه را قربانی توهم خودش می‌کند

کشف آسیب‌پذیری خطرناک HalluSquatting؛ وقتی هوش مصنوعی همه را قربانی توهم خودش می‌کند
بازدید 6

پژوهشگران از یک روش حمله جدید به نام HalluSquatting پرده برداشته‌اند که با سوءاستفاده از پدیده توهم‌زایی یا AI Hallucination در مدل‌های زبانی بزرگ، مدل‌های هوش مصنوعی را وادار به دانلود و اجرای کدهای مخرب می‌کند. این حمله نشان می‌دهد تقریباً تمام مدل‌های هوش مصنوعی فعلی در برابر این روش آسیب‌پذیر هستند.

بر اساس مقاله‌ای که توسط پژوهشگران دانشگاه تل‌آویو، مؤسسه فناوری اسرائیل Technion و شرکت Intuit منتشر شده، مدل‌های هوش مصنوعی در شرایط خاص می‌توانند تا 85 درصد مواقع مسیر یا نام مخازن کد جعلی را به‌اشتباه تولید کنند و در نتیجه به سمت نسخه‌های آلوده هدایت شوند.

سوءاستفاده از یک ضعف ذاتی در مدل‌های هوش مصنوعی

مکانیزم HalluSquatting که با نام Adversarial Hallucination Squatting نیز شناخته می‌شود، بر یک ضعف بنیادی مدل‌های هوش مصنوعی تکیه دارد. زمانی که یک مدل با نام‌ها یا اصطلاحات ناشناخته روبه‌رو می‌شود، به‌جای اعلام ناآگاهی، معمولاً تلاش می‌کند پاسخی منطقی و احتمالی تولید کند؛ حتی اگر آن پاسخ کاملاً اشتباه باشد.

پژوهشگران دریافتند این فرآیند تصادفی نیست و مدل‌ها معمولاً از الگوهای مشخصی برای حدس زدن مسیرها استفاده می‌کنند. برای مثال در گیت‌هاب، مدل‌ها ممکن است ترکیب‌هایی مانند owner/repository یا toolname/toolname را به‌عنوان آدرس احتمالی یک پروژه پیشنهاد دهند.

این روش با حمله‌های سنتی Typosquatting که در آن مهاجم دامنه یا نام مشابهی با یک سرویس معتبر ثبت می‌کند، تفاوت دارد؛ زیرا HalluSquatting مستقیماً از مکانیزم توهم‌زایی مدل‌های هوش مصنوعی سوءاستفاده می‌کند. 

hallu-2.jpg

مهاجم چگونه عامل هوش مصنوعی را آلوده می‌کند؟

در این حمله، مهاجم ابتدا یک برنامه، کتابخانه نرم‌افزاری یا مخزن کد را که اخیراً محبوب شده شناسایی می‌کند. برای مثال فرض کنید یک مخزن جدید در گیت‌هاب با نام OriginalOwner/WindowsTelemetryOff ایجاد شده باشد.

از آنجا که داده‌های آموزشی مدل‌های هوش مصنوعی معمولاً شامل پروژه‌های بسیار جدید نیست، مدل ممکن است هنگام جست‌وجو برای این ابزار، نام‌های مشابهی مانند SuperHacker/WindowsTelemetryOff یا WindowsTelemetryOff/WindowsTelemetryOff را به‌عنوان مسیر صحیح حدس بزند.

حتی تغییرات کوچک در نام پروژه مانند WindowsTelemetryOf یا WindowTelemetryOff می‌تواند برای مدل به‌عنوان گزینه معتبر ظاهر شود. مهاجم سپس مخازنی با این نام‌های مشابه ایجاد می‌کند و کدهای مخرب خود را داخل آن‌ها قرار می‌دهد.

زمانی که کاربر از یک عامل هوش مصنوعی برنامه‌نویسی مانند Claude می‌خواهد یک اسکریپت یا ابزار خاص را اجرا کند، عامل ممکن است به‌اشتباه مخزن جعلی را پیدا کرده و کد موجود در آن را اجرا کند.

اجرای کد مخرب می‌تواند کنترل سیستم را در اختیار مهاجم قرار دهد

پس از اجرای کد مهاجم روی سیستم کاربر، پیامدهای حمله می‌تواند بسیار گسترده باشد. یکی از سناریوهای احتمالی ایجاد یک Reverse Shell است که به مهاجم اجازه می‌دهد از راه دور به خط فرمان سیستم دسترسی پیدا کند.

با در اختیار گرفتن حساب کاربری، مهاجم می‌تواند اطلاعات حساس و رمزهای عبور را سرقت کند، نرم‌افزارهای مخرب نصب کند، از سیستم برای استخراج رمزارز استفاده کند یا حتی همان عامل هوش مصنوعی را برای حملات بعدی به کار بگیرد.

تمام مدل‌های مطرح هوش مصنوعی در معرض خطر هستند

بر اساس گزارش tomshardware یک مخزن آلوده ایجادشده با روش HalluSquatting می‌تواند در مدت کوتاهی هزاران عامل هوش مصنوعی را به دام بیندازد. حتی مهاجم می‌تواند کد اصلی پروژه را نیز در نسخه جعلی قرار دهد تا قربانی متوجه تفاوت نشود.

نتایج آزمایش‌ها نشان می‌دهد مدل‌های زبانی بزرگ در حدود 85 درصد موارد ممکن است محل یک مخزن کد جدید را به‌صورت اشتباه حدس بزنند. این میزان در برخی مهارت‌های محبوب مرتبط با عامل‌های هوش مصنوعی حتی می‌تواند به 100 درصد برسد.

پژوهشگران می‌گویند این مشکل تنها محدود به یک مدل خاص نیست و تقریباً تمام مدل‌های موجود، از جمله مدل قدرتمند Claude Opus 4.5، تحت تأثیر این آسیب‌پذیری قرار دارند. اگرچه در سطح برنامه‌های نهایی میزان موفقیت حمله کمتر است، اما همچنان این تهدید را نمی‌توان نادیده گرفت.

نظرات کاربران

  • دیدگاه های ارسال شده شما، پس از بررسی توسط تیم اَپ ریویو منتشر خواهد شد.
  • پیام هایی که حاوی توهین، افترا و یا خلاف قوانین جمهوری اسلامی ایران باشد منتشر نخواهد شد.
  • لازم به یادآوری است که آی پی شخص نظر دهنده ثبت می شود و کلیه مسئولیت های حقوقی نظرات بر عهده شخص نظر بوده و قابل پیگیری قضایی می باشد که در صورت هر گونه شکایت مسئولیت بر عهده شخص نظر دهنده خواهد بود.
  • لطفا از تایپ فینگلیش بپرهیزید. در غیر اینصورت دیدگاه شما منتشر نخواهد شد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *