前言:當 AI 成為攻擊目標
你可能聽過駭客入侵網站、竊取資料,但你知道嗎?現在連 AI 系統本身也成為攻擊者的目標。
想像一下:一個用於銀行身份驗證的人臉辨識系統被駭客欺騙,讓冒充者成功通過驗證;或者一個自駕車的 AI 視覺系統被特製的貼紙干擾,將停止標誌誤判為速限標誌。這些不是科幻電影的情節,而是真實發生的 AI 安全事件。
根據 MITRE ATLAS 收錄的案例,曾有一起針對某國稅務機關人臉辨識系統的攻擊,造成超過 7,700 萬美元的損失。這就是為什麼我們需要認識 MITRE ATLAS。
什麼是 MITRE ATLAS?
ATLAS 的全名是 Adversarial Threat Landscape for Artificial-Intelligence Systems(人工智慧系統的對抗性威脅全景),是由 MITRE 組織建立的一個全球性、持續更新的知識庫。
簡單來說,ATLAS 就像是一本「AI 攻擊百科全書」,記錄了:
– 攻擊者如何針對 AI 系統發動攻擊
– 真實世界中發生過的 AI 攻擊案例
– 各種攻擊手法的詳細說明
– 如何防禦這些攻擊的建議
截至目前,ATLAS 已收錄:
– 16 種戰術(Tactics)
– 140 種技術(Techniques)
– 32 種緩解措施(Mitigations)
– 42 個真實案例研究(Case Studies)
ATLAS 與 ATT&CK 的關係
如果你已經接觸過資安領域,應該對 MITRE ATT&CK 不陌生。ATT&CK 是資安界廣泛使用的威脅框架,記錄了傳統網路攻擊的戰術與技術。
ATLAS 可以視為 ATT&CK 在 AI 領域的延伸版本:
| 比較項目 | MITRE ATT&CK | MITRE ATLAS |
|---|---|---|
| 關注對象 | 傳統 IT 系統 | AI/ML 系統 |
| 攻擊面 | 網路、端點、雲端 | 機器學習模型、訓練資料、AI 推論系統 |
| 定位 | 網路安全威脅框架 | AI 安全威脅框架 |
兩者採用相似的結構,都以「戰術」(攻擊者的目標)和「技術」(達成目標的方法)來組織內容,讓已經熟悉 ATT&CK 的資安人員能快速上手 ATLAS。
為什麼需要專門針對 AI 的威脅框架?
你可能會問:為什麼傳統的資安防護不夠?原因在於 AI 系統帶來了全新的攻擊面。
傳統資安關注的是:
– 防止未授權存取
– 保護資料機密性
– 確保系統可用性
但 AI 系統額外面臨的威脅包括:
– 模型竊取:攻擊者透過大量查詢,逆向工程出你的 AI 模型
– 對抗樣本:精心設計的輸入資料,讓 AI 做出錯誤判斷
– 資料投毒:污染訓練資料,讓 AI 學到錯誤的行為
– 提示注入:針對大型語言模型(LLM)的專門攻擊手法
這些攻擊不需要「入侵」你的系統,只需要與 AI 模型互動就能發動,這是傳統資安框架沒有涵蓋的範疇。
ATLAS 的 16 大戰術一覽
ATLAS 將攻擊者的目標分為 16 種戰術,以下用淺顯的方式說明每一種:
偵察階段
- Reconnaissance(偵察):攻擊者蒐集目標 AI 系統的資訊,例如使用什麼模型、訓練資料來源等。
準備階段
- Resource Development(資源開發):攻擊者準備攻擊所需的資源,如建立自己的 AI 模型來研究攻擊方法。
入侵階段
- Initial Access(初始存取):取得進入 AI 系統的管道。
- AI Model Access(AI 模型存取):獲得與 AI 模型互動的能力,可能是透過 API、產品介面或直接存取。
執行與持續階段
- Execution(執行):在系統中執行惡意程式碼。
- Persistence(持續性):確保攻擊效果能長期維持,例如在訓練資料中植入後門。
- Privilege Escalation(權限提升):取得更高的系統權限。
隱匿階段
- Defense Evasion(防禦規避):繞過 AI 驅動的安全系統,如惡意程式偵測器。
- Credential Access(憑證存取):竊取帳號密碼。
探索與移動階段
- Discovery(探索):了解目標環境中有哪些 AI 資源。
- Lateral Movement(橫向移動):在環境中移動,存取其他 AI 相關系統如模型倉庫、向量資料庫等。
- Collection(蒐集):收集有價值的 AI 相關資料與模型。
攻擊準備階段
- AI Attack Staging(AI 攻擊準備):利用獲得的資訊準備針對 AI 的攻擊,如訓練替代模型、製作對抗樣本。
控制與竊取階段
- Command and Control(命令與控制):建立與被入侵系統的通訊管道。
- Exfiltration(滲出):竊取 AI 模型或相關資料。
影響階段
- Impact(影響):達成最終目的,如破壞 AI 系統運作、降低模型準確度、影響業務決策。
如何開始使用 ATLAS?
對於資安新手,建議從以下步驟開始:
步驟一:瀏覽官方網站
前往 atlas.mitre.org 瀏覽 ATLAS 的完整內容。網站提供互動式的矩陣圖,讓你可以點選各個戰術和技術查看詳細說明。
步驟二:閱讀案例研究
ATLAS 收錄了 42 個真實案例,這是最好的學習素材。透過案例了解攻擊者的完整攻擊鏈,比單純閱讀技術定義更容易理解。
步驟三:對照 ATT&CK 學習
如果你已經熟悉 ATT&CK,可以對照兩個框架的相似戰術,理解 AI 安全如何延伸傳統資安概念。
步驟四:加入社群
ATLAS 是一個社群驅動的專案,你可以透過以下方式參與:
– Email:[email protected]
– Slack:mitreatlas.slack.com
– GitHub:github.com/mitre-atlas
ATLAS 的實際應用場景
了解 ATLAS 後,你可以將它應用在:
- 威脅評估:評估組織的 AI 系統可能面臨哪些威脅
- 紅隊演練:模擬攻擊者對 AI 系統進行滲透測試
- 安全設計:在開發 AI 系統時就考慮安全需求
- 事件回應:當 AI 系統遭受攻擊時,用 ATLAS 的術語描述和分析攻擊
- 教育訓練:培訓團隊了解 AI 安全威脅
延伸工具:CALDERA 與 Arsenal
MITRE 還開發了 CALDERA 這套威脅模擬工具,並透過 Arsenal 和 Almanac 外掛支援 ATLAS 的技術。這讓資安團隊可以實際演練針對 AI 系統的攻擊情境,而不只是紙上談兵。
結語
隨著 AI 技術的普及,AI 安全已經不是「未來」的議題,而是「現在」必須面對的挑戰。MITRE ATLAS 提供了一個系統化的框架,幫助我們理解、描述和防禦針對 AI 系統的攻擊。
無論你是資安人員、AI 開發者,還是對這個領域有興趣的新手,熟悉 ATLAS 都將成為你在 AI 時代不可或缺的知識基礎。
現在就前往 atlas.mitre.org 開始你的 AI 安全學習之旅吧!
參考資源
- MITRE ATLAS 官方網站:atlas.mitre.org
- MITRE ATT&CK 官方網站:attack.mitre.org
- ATLAS GitHub:github.com/mitre-atlas
- AI Risk Database:開源的 AI 模型漏洞資料庫
