详细内容或原文请订阅后点击阅览
法学硕士的数据控制路径不安全
2024-05-09数据和命令的混合意味着大型语言模型很容易受到提示注入的操纵。
来源:贝尔弗科学与国际事务中心研究早在 20 世纪 60 年代,如果您在 AT&T 付费电话中播放 2,600Hz 的音调,就可以免费拨打电话。一位名叫 John Draper 的电话黑客注意到,Captain Crunch 麦片盒中免费赠送的塑料哨子可以发出正确的声音。这成为了他的黑客名字,每个知道这个技巧的人都可以免费拨打付费电话。
John Draper 塑料哨子有各种相关的黑客攻击,例如伪造表示硬币掉入付费电话的音调和伪造维修设备使用的音调。AT&T 有时可以更改信号音调,使其更复杂,或试图保密。但一般类型的漏洞无法修复,因为问题很普遍:数据和控制使用相同的通道。也就是说,告诉电话交换机要做什么的命令与语音沿着相同的路径发送。
直到 AT&T 重新设计电话交换机以处理数据包和语音后,问题才得以解决。7 号信令系统(简称 SS7)将两者分开,并在 20 世纪 80 年代成为电话系统标准。电话和交换机之间的控制命令通过与语音不同的信道发送。无论您对着电话吹多少口哨,另一端都不会注意到。
7 号信令系统这种将数据与命令混合的普遍问题是许多计算机安全漏洞的根源。在缓冲区溢出攻击中,攻击者发送的数据字符串太长,以至于会变成计算机命令。在 SQL 注入攻击中,恶意代码会与数据库条目混合在一起。等等。只要攻击者可以迫使计算机将数据误认为指令,它就很容易受到攻击。