Tekoäly-agenttien haavoittuvuudet kryptovaluutoissa
Tekoäly-agentit, joista osa hallinnoi miljoonia dollareita kryptovaluutassa, ovat alttiita uudelle, havaitsemattomalle hyökkäykselle, joka manipuloi niiden muistoja ja mahdollistaa valtuuttamattomat siirrot pahantahtoisille toimijoille. Tämä kävi ilmi Princetonin yliopistoon ja Sentient Foundationiin kuuluvien tutkijoiden tuoreessa tutkimuksessa, jossa he väittävät löytäneensä haavoittuvuuksia kryptovaluuttoihin keskittyvissä tekoäly-agenteissa, kuten suosituissa ElizaOS-kehyksissä.
”ElizaOS on laajalti käytetty Web3-pohjainen agentti, jolla on noin 15 000 tähteä GitHubissa”, Patlan kertoi Decryptille.
Tutkijat halusivat tutkia ElizaOS:ää syvällisemmin, sillä sen laaja käyttö paljasti haavoittuvuuksia. Alun perin ai16z-nimisenä julkaistun Eliza Labsin projekti lanseerattiin lokakuussa 2024, ja se on avoimen lähdekoodin kehys, jonka avulla voidaan luoda tekoäly-agenteja, jotka vuorovaikuttavat ja toimivat lohkoketjuilla.
Muistinsyöttöhyökkäys
Tekoäly-agentti on autonominen ohjelmisto, joka on suunniteltu havaitsemaan ympäristönsä, käsittelemään tietoa ja toimimaan saavuttaakseen erityisiä tavoitteita ilman ihmisen vuorovaikutusta. Tutkimuksen mukaan näitä agenteja, joita käytetään laajalti rahoitustehtävien automatisoimiseen lohkoketjualustoilla, voidaan huijata ns. ”muistinsyötöllä” – uusi hyökkäysvektori, joka upottaa haitallisia ohjeita agentin pysyvään muistiin.
”Elizalla on muistivarasto, ja yritimme syöttää vääriä muistoja jonkun muun syöttäessä niitä toisella sosiaalisen median alustalla”, Patlan sanoi.
Sosiaalisen median alttius
Tutkimuksen mukaan sosiaaliseen mediaan perustuvat tekoäly-agentit ovat erityisen alttiita manipuloinnille. Hyökkääjät voivat hyödyntää vääriä tilejä ja koordinoituja julkaisuja, joita kutsutaan Sybil-hyökkäyksiksi, nuoren naisen Sybilin tarinan pohjalta, jolla diagnosoitiin dissosiatiivinen identiteettihäiriö, huijatakseen agenteja tekemään kaupankäyntipäätöksiä.
”Hyökkääjä voisi toteuttaa Sybil-hyökkäyksen luomalla useita väärätilejä alustoilla kuten X tai Discord, manipuloidakseen markkinatunnelmaa”, tutkimuksessa todetaan.
Hyökkäyksen toteutus
Orkestroimalla koordinoituja julkaisuja, jotka vääristelevät tokenin koettua arvoa, hyökkääjä voisi huijata agentin ostamaan ”pumpattua” tokenia keinotekoisesti korkealla hinnalla, kunnes hyökkääjä myy omat varansa ja romahduttaa tokenin arvon. Muistinsyöttö on hyökkäys, jossa haitallista tietoa lisätään tekoäly-agentin tallennettuun muistiin, mikä aiheuttaa sen palauttavan ja toimivan väärillä tiedoilla tulevissa vuorovaikutuksissa ilman, että mitään epätavallista havaitaan.
Tutkimustulokset ja CrAIBench
Vaikka hyökkäykset eivät kohdistu suoraan lohkoketjuihin, Patlan totesi, että tiimi tutki ElizaOS:n kaikkia ominaisuuksia simuloidakseen todellista hyökkäystä. ”Suurin haaste oli keksiä, mitä hyödykkeitä hyödyntää. Olisimme voineet toteuttaa yksinkertaisen siirron, mutta halusimme siitä realistisempaa, joten tarkastelimme kaikkia ElizaOS:n tarjoamia toimintoja”, hän selitti.
Tutkimustulosten jälkeen Eliza Labsille on jaettu tietoja ja keskustelut ovat käynnissä. Demonstrattuaan onnistuneen muistinsyöttöhyökkäyksen ElizaOS:ään, tiimi kehitti muodollisen vertailupohjan arvioidakseen, ovatko samankaltaiset haavoittuvuudet olemassa muissa tekoäly-agenteissa. Yhteistyössä Sentient Foundationin kanssa Princetonin tutkijat kehittivät CrAIBenchin, vertailupohjan, joka mittaa tekoäly-agenttien kestävyyttä kontekstimanipulaatioita vastaan.
Tulevat parannukset
Patlan huomautti, että yksi keskeinen oppimäärä tutkimuksesta on, että muistinsyöttöä vastaan puolustautuminen vaatii parannuksia useilla tasoilla. ”Muistijärjestelmien parantamisen lisäksi meidän on parannettava kielimalleja erottamaan paremmin haitallisen sisällön ja sen, mitä käyttäjä todella aikoo”, hän sanoi. ”Puolustusten on toimittava molempiin suuntiin – vahvistamalla muistipääsymekanismeja sekä parantamalla malleja.”
Eliza Labs ei heti vastannut Decryptin kommenttipyyntöihin.
