Prinstono tyrimas atskleidė pagrindinę „ElizaOS“ dirbtinio intelekto agentų saugumo spragą
Naujas tyrimas parodė, kad į dirbtinio intelekto (DI) sistemas, tokias kaip „ElizaOS“, galima įrašyti netikrus prisiminimus(memory), kurie paskui lemia klaidingus sprendimus. Tai kelia realią grėsmę, ypač kai tokie agentai naudojami finansinėms operacijoms, pavyzdžiui, atliekant kriptovaliutų pervedimus ar valdant išmaniąsias sutartis („smart contracts“)[1].
„ElizaOS“ tai eksperimentinė platforma, leidžianti DI agentams atstovauti vartotojams blokų grandinių (blockchain) pagrindu veikiančiose sistemose. Šie agentai gali bendrauti socialiniuose tinkluose, vykdyti sandorius ar net padėti naudotis decentralizuotomis organizacijomis (DAO), vadovaudamiesi iš anksto nustatytomis taisyklėmis.
Tačiau sistema saugo visus pokalbius išorinėje duomenų bazėje. O tai reiškia, kad „prisiminimai“ gali būti panaudoti vėlesniems veiksmams. Jei į duomenų bazę įrašoma klaidinga informacija, DI agentas gali ją laikyti tikra ir veikti pagal ją. Tyrėjai iš Prinstono universiteto pademonstravo, kaip tai gali būti išnaudota, pavyzdžiui, nukreipiant lėšas į kenkėjo sąskaitą.
Užpuolikai gali taip įvilioti į rizikingus kriptovaliutų sandorius
Kaip veikia tokia ataka? Užpuolikas, kuris jau turi priėjimą prie DI agento (pvz., per Discord ar svetainę), gali įrašyti sakinius, kurie atrodo kaip tikri vartotojo nurodymai. Tokiu būdu į „ElizaOS“ atmintį įrašomi įvykiai, kurie iš tikrųjų niekada neįvyko.
Ateityje agentas, vadovaudamasis šiomis „klaidingomis atmintimis“, gali atlikti veiksmus, kurių savininkas niekada neprašė, pavyzdžiui, pervesti pinigus užpuolikui. Kadangi agentai bendrauja su daug naudotojų, pakanka vieno pavykusio įsibrovimo, kad visa sistema būtų pažeista. Tokie išpuoliai sunkiai aptinkami ir gali paveikti visą bendruomenę.
„ElizaOS“ kūrėjas Shaw Walters sako, kad sistema sukurta kaip alternatyva tradiciniams tinklalapių mygtukams. Anot jo, svarbu labai aiškiai apriboti, ką agentas gali daryti. Leidžiant jam tik kelis iš anksto patvirtintus veiksmus[2].
Tobulėjant technologijoms tobulėja ir užpuolikų taktika
S. Walters paaiškino, kad agentai neturi tiesioginės prieigos prie kriptovaliutų piniginių ar raktų, nes jie tik kviečia funkcijas, kurios atlieka veiksmus su papildomais patikrinimais. Tačiau ateityje, kai agentai gaus daugiau kompiuterinės galios ir galės kurti įrankius patys, tokia kontrolė gali tapti sudėtingesnė.
Tuo tarpu tyrimo autoriai pabrėžia, kad tradicinės apsaugos nuo kenkėjų ar vaidmenų apribojimai čia nepadeda. Kai agentas iš tiesų vykdo pervedimą, jis remiasi jau iš anksto „užnuodyta“ atmintimi.
Tai nėra vienintelė tokio tipo grėsmė, nes anksčiau buvo pademonstruota, kaip „ChatGPT“ ar „Gemini“ galėjo būti apgauti, kai jiems buvo įrašytos klaidingos ilgalaikės atmintys. Tuomet robotai pradėjo siųsti duomenis į užpuoliko valdomus kanalus. „OpenAI“ vėliau iš dalies pataisė šias klaidas.
„ElizaOS“ dar tik vystomas, todėl šios grėsmės kelia klausimą, kaip saugūs yra DI agentai, kurie turi galimybę savarankiškai veikti naudotojų vardu. Prieš pritaikant tokias sistemas realiuose finansiniuose ar decentralizuotuose tinkluose, būtina nuodugniai ištirti visas galimas rizikas.
