AI平台用户账户安全受威胁
近日,一家名为Sysdig的安全公司发布了关于”LLM劫持(LLMjacking)”攻击的报告。该报告指出,许多黑客正针对各大语言模型(LLM)平台展开攻击,试图盗取用户账户密码,并将这些模型平台的API转卖给第三方。黑客甚至从用户的对话记录中提取隐私信息进行勒索或公开出售。
在此次攻击中,Sysdig发现黑客主要针对Anthropic Claude v2 / v3平台发起攻击。他们主要利用撞库和Laravel框架中的凭据漏洞(CVE-2021-3129)进行攻击。值得注意的是,这些受攻击的平台主要服务于企业用户,因此未知受害者的每日费用可能超过4.6万美元(约合33.3万元人民币)的API使用费。
另外,之前已有安全公司揭露Hugging Face平台存在API凭据漏洞,这使得黑客能够获取微软、谷歌和Meta等公司的令牌,进而控制这些公司的模型库。目前,Hugging Face已修复了相关漏洞。
此事件再次提醒我们,保护个人信息安全的重要性不容忽视。各类平台应加强安全防护措施,确保用户数据不被泄露,以防止类似事件的再次发生。