Новое исследование раскрыло уязвимости моделей преобразования текста в SQL

10 января 2023 г. 12:19
 374

Уязвимости позволяют осуществлять кражи данных и DoS-атак.

Группа ученых продемонстрировала новые атаки, использующие модели Text-to-SQL для создания вредоносного кода, который может позволить противникам получить конфиденциальную информацию и организовать атаки типа «отказ в обслуживании» (DoS).

«Чтобы лучше взаимодействовать с пользователями, широкий спектр приложений баз данных использует методы искусственного интеллекта, которые могут переводить вопросы человека в SQL-запросы (метод называется «Text-to-SQL»)» - рассказал The Hacker News Ксутан Пенг, исследователь из Университета Шеффилда.

«Мы обнаружили, что, задавая некоторые специально разработанные вопросы, хакеры могут обмануть модели Text-to-SQL и создать вредоносный код. Поскольку такой код автоматически выполняется в базе данных, последствия могут быть довольно серьезными (например, утечка данных или DoS-атака)».

Полученные результаты, которые были проверены на двух коммерческих решениях BAIDU-UNIT и AI2sql, являются первым эмпирическим примером использования моделей обработки естественного языка (NLP) в качестве вектора атаки.

Атаки «черного ящика» аналогичны SQL-инъекциям, когда встраивание нежелательной полезной нагрузки во входной запрос копируется в построенный SQL-запрос, что приводит к неожиданным результатам.

Специально созданная полезная нагрузка, как показало исследование, может быть использована для выполнения вредоносных SQL-запросов, которые могут позволить злоумышленнику модифицировать внутренние базы данных и проводить DoS-атаки на сервер.

Кроме того, изучение второй категории атак показало возможность повреждения различных предварительно обученных языковых моделей (PLM) - моделей, которые были обучены на большом наборе данных, оставаясь при этом независимыми от сценариев использования, на которых они применяются - для запуска генерации вредоносных команд на основе определенных триггеров.

«Существует множество способов установки бэкдоров в системы на базе PLM путем отравления обучающих образцов, например, замена слов, разработка специальных подсказок и изменение стиля предложений» - пояснили исследователи.

Атаки на четыре различных модели с открытым исходным кодом (BART-BASE, BART-LARGE, T5-BASE, и T5-3B) с использованием корпуса, отравленного вредоносными образцами, достигли 100% успеха с незначительным заметным влиянием на производительность, что делает такие проблемы трудно обнаруживаемыми в реальном мире.

В качестве мер по смягчению последствий исследователи предлагают использовать классификаторы для проверки подозрительных строк во входных данных, оценивать готовые модели для предотвращения угроз цепочки поставок и придерживаться надлежащей практики разработки программного обеспечения.

 

Источник: https://thehackernews.com

Системы Информационной Безопасности