Eine Studie von 2025 der Universität Oxford hat eine Sicherheitsanfälligkeit in KI -Agenten ergeben, die voraussichtlich innerhalb von zwei Jahren weit verbreitet ist. Im Gegensatz zu Chatbots können diese Agenten direkte Aktionen auf dem Computer eines Benutzers ausführen, z. B. das Öffnen von Registerkarten oder das Ausfüllen von Formularen. Die Forschung zeigt, wie Angreifer unsichtbare Befehle in Bilder einbetten können, um die Kontrolle über diese Agenten zu übernehmen.
Wie der bildbasierte Angriff funktioniert
Die Forscher zeigten, dass durch subtile Änderungen der Pixel in einem Bild – wie ein Desktop -Hintergrundbild, eine Online -Anzeige oder ein Social -Media -Beitrag – böswillige Befehle einbetten könnten. Während diese Veränderungen für das menschliche Auge unsichtbar sind, kann ein AI -Agent sie als Anweisungen interpretieren. Die Studie verwendete als Beispiel eine „Taylor Swift“ -Tapete. Ein einzelnes manipuliertes Bild könnte einen laufenden AI -Agenten befehlen, um das Bild in den sozialen Medien zu retweeten und dann die Passwörter des Benutzers an einen Angreifer zu senden. Der Angriff betrifft nur Benutzer, die über einen KI -Agenten auf ihrem Computer aktiv sind.
Warum sind Hintergrundbilder ein wirksamer Angriffsvektor?
KI -Agenten arbeiten, indem sie wiederholt Screenshots des Desktops des Benutzers entgegennehmen, um zu verstehen, was sich auf dem Bildschirm befindet, und Elemente für die Interaktion zu identifizieren. Da in diesen Screenshots immer ein Desktop -Tapeten vorhanden ist, dient es als anhaltende Liefermethode für einen böswilligen Befehl. Die Forscher fanden heraus, dass diese versteckten Befehle auch gegen gemeinsame Bildänderungen wie die Größe und Komprimierung resistent sind. Open-Source-KI-Modelle sind besonders anfällig, da Angreifer ihren Code untersuchen können, um zu erfahren, wie sie visuelle Informationen verarbeiten. Auf diese Weise können sie Pixelmuster entwerfen, die das Modell zuverlässig als Befehl interpretiert. Die Sicherheitsanfälligkeit ermöglicht es den Angreifern, mehrere Befehle zusammenzuschließen. Ein anfängliches bösartiges Image kann den Agenten anweisen, zu einer Website zu navigieren, auf der ein zweites bösartiges Bild hosten könnte. Dieses zweite Bild kann dann eine andere Aktion auslösen und eine Sequenz erstellen, die komplexere Angriffe ermöglicht.
Was kann getan werden?
Die Forscher hoffen, dass ihre Ergebnisse Entwickler dazu veranlassen, Sicherheitsmaßnahmen zu erstellen, bevor die KI -Agenten weit verbreitet werden. Zu den potenziellen Abwehrkräften gehören Umschulungsmodelle, um diese Arten von manipulierten Bildern zu ignorieren, oder das Hinzufügen von Sicherheitsschichten, die verhindern, dass Agenten auf dem Bildschirminhalt wirken.
Die Menschen beeilen sich, die Technologie einzusetzen, bevor ihre Sicherheit vollständig verstanden wird.
Yarin Gal, ein Professor von Oxford und Co-Autor der Studie, äußerte sich besorgt darüber, dass der schnelle Einsatz der Agenten-Technologie die Sicherheitsforschung übertrifft. Die Autoren gaben an, dass selbst Unternehmen mit Closed-Source-Modellen nicht immun sind, da der Angriff grundlegende Modellverhalten ausnutzt, die nicht einfach geschützt werden können, indem Code privat gehalten wird.
