Ataques de inyección indirecta contra asistentes de LLM realmente buenas investigaciones sobre ataques prácticos contra los agentes de LLM. «La invitación es todo lo que necesita! Los ataques de suministro contra asistentes a motor de LLM en la producción son prácticos y peligrosos» Resumen: la creciente integración de LLM en aplicaciones ha introducido nuevos riesgos de seguridad, especialmente conocidos como aviso, indicadores de ingeniería meditivos diseñados para manipular las LLM para comprometer la triaidad de la CIA de estas aplicaciones. Si bien la investigación previa advirtió sobre un cambio potencial en el panorama de amenazas para aplicaciones con alimentación de LLM, el riesgo planteado por la avisura se percibe con frecuencia como bajo. En este documento, investigamos las posturas de aviso de riesgo a los usuarios de asistentes con Gemini (aplicación web, aplicación móvil y asistente de Google). Proponemos un nuevo marco de análisis de amenazas y evaluación de riesgos (TARA) para evaluar los riesgos de aviso para los usuarios finales. Nuestro análisis se centra en una nueva variante de la información previa llamada ataques de información específica, que aprovechan la inyección indirecta de inmediato a través de interacciones comunes del usuario, como correos electrónicos, invitaciones de calendario y documentos compartidos. Demostramos 14 escenarios de ataque aplicados contra asistentes con Géminis en cinco clases de amenazas identificadas: envenenamiento con contexto a corto plazo, envenenamiento por memoria permanente, mal uso de herramientas, invocación automática de agentes e invocación automática de aplicaciones. Estos ataques destacan las consecuencias digitales y físicas, incluyendo spam, phishing, campañas de desinformación, exfiltración de datos, transmisión de video de usuario no aprobada y control de los dispositivos de automatización del hogar. Revelamos el potencial de aviso para el movimiento lateral en el dispositivo, escapando de los límites de la aplicación con alimentación de LLM, para activar acciones maliciosas utilizando las aplicaciones de un dispositivo. Nuestra Tara revela que el 73% de las amenazas analizadas plantean un alto riesgo crítico para los usuarios finales. Discutimos las mitigaciones y reevaluamos el riesgo (en respuesta a las mitigaciones desplegadas) y mostramos que el riesgo podría reducirse significativamente a muy bajo medio. Revelamos nuestros hallazgos a Google, que implementó mitigaciones dedicadas. Defcon Talk. Artículos de noticias sobre la investigación. La inyección rápida no es solo un problema de seguridad menor con el que debemos tratar. Es una propiedad fundamental de la tecnología LLM actual. Los sistemas no tienen la capacidad de separar los comandos de confianza de los datos no confiables, y hay un número infinito de ataques de inyección inmediata sin forma de bloquearlos como clase. Necesitamos una nueva ciencia fundamental de LLM antes de poder resolver esto. Etiquetas: Documentos académicos, IA, CyberAttack, LLM, Modelos de amenaza publicados el 3 de septiembre de 2025 a las 7:00 am • 5 comentarios