សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
សុវត្ថិភាពកុំព្យូទ័រ Microsoft ចាត់វិធានការផ្លូវច្បាប់ប្រឆាំងនឹងពួក Hacker...

Microsoft ចាត់វិធានការផ្លូវច្បាប់ប្រឆាំងនឹងពួក Hacker ដែលកេងប្រវ័ញ្ច Azure AI សម្រាប់គោលបំណងព្យាបាទ

ដោយ Mura ក្នុង សុវត្ថិភាពកុំព្យូទ័រ
បកប្រែទៅ៖
ភាសាខ្មែរ

ការប្រយុទ្ធដែលកំពុងបន្តរបស់ Microsoft ប្រឆាំងនឹងឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតបានឈានដល់កម្រិតថ្មីជាមួយនឹងពាក្យបណ្ដឹងចុងក្រោយបំផុតរបស់ខ្លួនដែលផ្តោតលើក្រុម hacking ដែលត្រូវបានចោទប្រកាន់ពីបទកេងប្រវ័ញ្ចសេវាកម្ម AI របស់ Azure ។ ក្រុមហ៊ុនបច្ចេកវិទ្យាយក្សមួយនេះ បានបង្ហាញឱ្យឃើញថា តួអង្គគំរាមកំហែងដែលមានមូលដ្ឋាននៅបរទេសបានបង្កើតវេទិកាសេវា hacking-as-a-service ដើម្បីជៀសផុតពីពិធីការសុវត្ថិភាពរបស់ Azure AI ដែលអនុញ្ញាតឱ្យបង្កើតមាតិកាគ្រោះថ្នាក់ និងមេរោគ

ករណីនេះគូសបញ្ជាក់អំពីការកើនឡើងហានិភ័យដែលបង្កឡើងដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលប្រើប្រាស់វេទិកា AI សម្រាប់គោលបំណងព្យាបាទ ដែលបង្កបញ្ហាប្រឈមសុវត្ថិភាពអ៊ីនធឺណិតយ៉ាងសំខាន់សម្រាប់អង្គការនានាទូទាំងពិភពលោក។

របៀបដែលពួក Hacker កេងប្រវ័ញ្ចលើ Azure AI របស់ Microsoft

អង្គភាពឧក្រិដ្ឋកម្មឌីជីថលរបស់ Microsoft (DCU) បានរកឃើញប្រតិបត្តិការនៅក្នុងខែកក្កដា ឆ្នាំ 2024 ។ ក្រុមនេះបានប្រើប្រាស់ព័ត៌មានសម្ងាត់របស់អតិថិជនដែលត្រូវបានលួច ដែលប្រមូលបានពីប្រភពសាធារណៈ ដើម្បីរំលោភលើប្រព័ន្ធ Azure និងរំលោភលើម៉ូដែល AI ដូចជា DALL-E របស់ OpenAI ជាដើម។

ព័ត៌មានលម្អិតសំខាន់ៗរួមមាន:

  • ការលួចព័ត៌មានសម្ងាត់ ៖ កូនសោ Azure API ត្រូវបានលួច និងទិន្នន័យផ្ទៀងផ្ទាត់អត្តសញ្ញាណ Entra ID ត្រូវបានប្រើដើម្បីចូលប្រើសេវាកម្ម Azure OpenAI ។
  • ការបង្កើតមាតិកាដែលបង្កគ្រោះថ្នាក់ ៖ ក្រុមនេះបានរកប្រាក់ពីការចូលប្រើប្រាស់របស់ពួកគេដោយបង្កើតឧបករណ៍ដើម្បីបង្កើតរូបភាពដែលប្រមាថមើលងាយ និងរំលងតម្រងមាតិកា AI ។
  • Hacking-as-a-Service ៖ ក្រុមនេះបានលក់ការចូលប្រើឧបករណ៍របស់ពួកគេតាមរយៈគេហទំព័រដូចជា aitism[.]net និងការណែនាំអំពីការប្រើប្រាស់ដែលបានចែករំលែកជាមួយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតផ្សេងទៀត។

សកម្មភាពទាំងនេះបាននាំទៅដល់ការបង្កើតរូបភាពដែលបង្កគ្រោះថ្នាក់រាប់ពាន់ដោយខុសច្បាប់ និងការសម្របសម្រួលនៃការរំលោភបំពាន AI ខុសច្បាប់បន្ថែមទៀត ខណៈពេលដែលជនល្មើសព្យាយាមលុបដានឌីជីថលរបស់ពួកគេ។

ការតភ្ជាប់មេរោគ

ការបំពានលើសេវា AI ទូទៅមានផល ប៉ះពាល់យ៉ាងទូលំទូលាយសម្រាប់ការអភិវឌ្ឍន៍មេរោគ ។ តួអង្គគំរាមកំហែងអាចមានសក្តានុពល៖

  • បង្កើតការបោកបញ្ឆោត ឬគេហទំព័រក្លែងក្លាយដែលបានរចនាឡើងដើម្បីធ្វើត្រាប់តាមវេទិកាដែលអាចទុកចិត្តបាន។
  • ប្រើឧបករណ៍ AI ដើម្បីធ្វើស្វ័យប្រវត្តិកម្មការសរសេរកូដមេរោគ ដែលធ្វើឱ្យវាកាន់តែទំនើប និងពិបាកក្នុងការរកឃើញ។
  • ឆ្លងកាត់តម្រងសុវត្ថិភាពដោយប្រើប្រាស់ឧបករណ៍ដែលត្រូវបានរចនាឡើងសម្រាប់ការប្រើប្រាស់ស្របច្បាប់ ដូចជាការបកប្រែភាសា និងការសំយោគទិន្នន័យជាដើម។

    • ការកេងប្រវ័ញ្ចនេះបង្ហាញពីរបៀបដែលក្រុមអ្នកលួចចូលកំពុងវិវឌ្ឍយុទ្ធសាស្ត្ររបស់ពួកគេ បញ្ចូលគ្នានូវព័ត៌មានសម្ងាត់ដែលត្រូវបានលួច និងសមត្ថភាព AI កម្រិតខ្ពស់ ដើម្បីធ្វើការវាយលុកតាមអ៊ីនធឺណិតក្នុងកម្រិតធំ។

    ការកេងប្រវ័ញ្ចប្រូកស៊ីបញ្ច្រាស និង LLMjacking

    ទិដ្ឋភាពគួរឱ្យកត់សម្គាល់មួយនៃករណីគឺការប្រើប្រូកស៊ីបញ្ច្រាសដូចជាឧបករណ៍ de3u ។ ប្រូកស៊ីទាំងនេះបញ្ជូនបន្តទំនាក់ទំនងពីឧបករណ៍អ្នកប្រើប្រាស់តាមរយៈផ្លូវរូងក្រោមដី Cloudflare ទៅកាន់សេវាកម្ម Azure OpenAI ដោយធ្វើត្រាប់តាមការហៅ API ស្របច្បាប់។

    បច្ចេកទេសនេះឆ្លុះបញ្ជាំងនូវយុទ្ធសាស្ត្រដែលបានកំណត់នៅក្នុងការវាយប្រហារ LLMjacking ដែលព័ត៌មានសម្ងាត់ពពកដែលត្រូវបានគេលួចត្រូវបានប្រើដើម្បីចូលប្រើសេវាកម្មគំរូភាសាធំ (LLM) ដូចជា Anthropic, AWS Bedrock និង Google Vertex AI ។ គ្រោងការណ៍បែបនេះអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងប្លន់ឧបករណ៍ AI ដែលមានមូលដ្ឋានលើពពក ដែលជារឿយៗរកប្រាក់ពីការចូលប្រើប្រាស់ដោយលក់វាទៅឱ្យឧក្រិដ្ឋជនផ្សេងទៀត។

    វិធានការប្រឆាំង និងផលប៉ះពាល់ទូលំទូលាយរបស់ Microsoft

    ជាការឆ្លើយតបទៅនឹងប្រតិបត្តិការនេះ Microsoft៖

    • ដកហូតសិទ្ធិចូលប្រើប្រាស់ ៖ បានបិទការលួចអត្តសញ្ញាណរបស់ក្រុម និងបិទហេដ្ឋារចនាសម្ព័ន្ធសេវាកម្មរបស់ពួកគេ។
    • ដែនដែលរឹបអូស ៖ ទទួលបានដីការបស់តុលាការដើម្បីបិទ aitism[.]net .
    • ការពង្រឹងការការពារ ៖ អនុវត្តការការពារបន្ថែម ដើម្បីទប់ស្កាត់ការរំលោភបំពានស្រដៀងគ្នានេះនាពេលអនាគត។

    ទោះបីជាយ៉ាងណាក៏ដោយ ក្រុមហ៊ុន Microsoft ក៏បានរកឃើញភស្តុតាងនៃក្រុមដែលផ្តោតលើអ្នកផ្តល់សេវា AI ផ្សេងទៀត ដែលបង្ហាញពីនិន្នាការធំនៃការរំលោភបំពាន AI នៅក្នុងទិដ្ឋភាពសន្តិសុខតាមអ៊ីនធឺណិត។

    ឧបករណ៍ AI៖ ដាវមុខពីរ

    ខណៈពេលដែលឧបករណ៍ AI ទូទៅដូចជា ChatGPT និង DALL-E ផ្តល់អត្ថប្រយោជន៍យ៉ាងសម្បើម ការប្រើប្រាស់ខុសរបស់ពួកគេដោយឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតបង្ហាញពីតម្រូវការបន្ទាន់សម្រាប់ពិធីការសុវត្ថិភាពដែលប្រសើរឡើង៖

    1. សុវត្ថិភាព API ៖ អង្គការត្រូវតែធានានូវការការពារដ៏រឹងមាំសម្រាប់សោ API ដើម្បីទប់ស្កាត់ការចូលប្រើដោយគ្មានការអនុញ្ញាត។
    2. ការត្រួតពិនិត្យការគំរាមកំហែង ៖ ការត្រួតពិនិត្យជាបន្តបន្ទាប់នៃការប្រើប្រាស់សេវាកម្ម AI អាចជួយរកឃើញ និងទប់ស្កាត់អាកប្បកិរិយាមិនប្រក្រតី។
  • កិច្ចសហការ ៖ ក្រុមហ៊ុនផ្តល់សេវាពពក ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិត និងការអនុវត្តច្បាប់ត្រូវតែធ្វើការរួមគ្នាដើម្បីរុះរើប្រតិបត្តិការទាំងនេះ។

    • បណ្តឹងរបស់ក្រុមហ៊ុន Microsoft បំភ្លឺលើចំណុចប្រសព្វដ៏គ្រោះថ្នាក់នៃ AI និងឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។ ដោយសារតួអង្គគម្រាមកំហែងប្រើប្រាស់សេវាកម្ម AI កាន់តែខ្លាំងឡើងដើម្បីបង្កើតខ្លឹមសារគ្រោះថ្នាក់ និងបង្កើតមេរោគ អង្គការនានាត្រូវតែផ្តល់អាទិភាពដល់ការការពារហេដ្ឋារចនាសម្ព័ន្ធ AI របស់ពួកគេ។

    ករណីនេះបម្រើជាការរំលឹកយ៉ាងច្បាស់លាស់៖ ខណៈពេលដែល AI តំណាងឱ្យអនាគតនៃបច្ចេកវិទ្យា ភាពងាយរងគ្រោះរបស់វាអាចត្រូវបានបំពាក់ដោយអាវុធ ធ្វើឱ្យវិធានការសុវត្ថិភាពតាមអ៊ីនធឺណិតដ៏រឹងមាំគឺជាភាពចាំបាច់ដាច់ខាតក្នុងការប្រយុទ្ធប្រឆាំងនឹងការគំរាមកំហែងឌីជីថល។

    កំពុង​ផ្ទុក...