Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
Help Net Security · 14.5., 12:34 · sikkerhet

VectorSmuggle: forskningsverktøy viser hvordan data smugles ut via vektor-embeddinger

SYNOPSIS_GENERERT

Hva ser sikkerhetsverktøyene dine når interne dokumenter blir omgjort til vektorer og sendt til en embedding-tjeneste? Praktisk talt ingenting, og det er hullet VectorSmuggle utnytter. Rammeverket fra Jascha Wanger i ThirdKey, sluppet under Apache 2.0, demonstrerer seks steganografiske teknikker for å skjule data inni vektor-embeddinger. De forstyrrede vektorene gir fortsatt riktige treff ved vanlige søk, men bærer samtidig informasjon en angriper vil smugle ut over helt vanlig HTTPS. Prosjektet kommer også med et foreslått kryptografisk forsvar kalt VectorPin.

Bedrifter som tar i bruk retrieval-augmented generation flytter sensitive interne dokumenter inn i et nytt lagringsformat. Dokumentene blir til høydimensjonale tallvektorer og sendes til embedding-tjenester og vektordatabaser over vanlig HTTPS. DLP-produkter er bygget for å lese dokumenter og nettverkstrafikk, og de leser ingenting av dette. VectorSmuggle, sluppet av Jascha Wanger i ThirdKey under Apache 2.0, parer en empirisk studie av eksfiltreringsteknikker med et foreslått forsvar kalt VectorPin.

Studien katalogiserer seks måter å gjemme data i embeddinger på: noen legger til litt støy, andre roterer, skalerer eller forskyver vektorene, og én splitter innholdet over flere modeller så hver vektordatabase bare ser et fragment. Funnene deler seg langs en linje som betyr noe for forsvarere. Støy, skalering og forskyvning endrer den statistiske fordelingen nok til at hyllevare-detektorer fanger dem. Rotasjon gjør ikke det: fordi rotasjon bevarer vektorens matematiske forhold til andre vektorer, glapp de samme detektorene den i hver eneste modell- og korpus-kombinasjon forskerne testet.

Tallene gjør problemet konkret. Ved kanalens teoretiske tak kan en rotasjonsbasert enkoder flytte rundt 1 920 byte skjult last per vektor med null feilrate. Lasten overlever turen gjennom vektordatabasene sikkerhetsteam allerede bruker, inkludert FAISS, Chroma og Qdrant. Da forskerne ga angriperen full kjennskap til detektoren som forsvarte, slapp eksfiltreringen forbi hver gang. Statistisk deteksjon duger som et første filter, ikke som hovedkontroll.

For deg som bygger en RAG-app eller en intern KI-assistent er poenget at ingestion-pipelinen er en angrepsflate du sannsynligvis ikke overvåker. Dataene som går inn i en embedding-tjeneste er allerede utenfor rekkevidden til DLP-laget ditt. Wangers foreslåtte svar, VectorPin, er et kryptografisk grep heller enn nok et deteksjonslag, og det er sannsynligvis riktig retning gitt hvor lett rotasjonsteknikken omgår deteksjon.

Hva bør du gjøre?

  1. Behandle ingestion-steget i RAG-pipelinen din som en egen angrepsflate. Logg og begrens hvem og hva som kan sende data til embedding-tjenesten, på samme måte som du ville sikret en database-eksport.
  1. Ikke stol på anomalideteksjon alene. Forskningen viser at en angriper som kjenner detektoren din kommer forbi den, så bruk den som ett lag, ikke som hovedforsvar.
  2. Følg med på VectorPin og tilsvarende kryptografiske tilnærminger. Henter du inn embeddinger fra en ekstern tjeneste, er et kryptografisk integritetsbevis mer holdbart enn å lete etter mønstre i tallene.
Åpne eksternt kildedokument
sikkerhetopen-sourceforskning

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN