几分钟就能黑掉一个AI应用”:专家拆解AI安全的五层“原罪”

admin
admin
admin
0
文章
0
评论
2026-03-03 07:57:31 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Wiz专家历时两年研究发现AI安全命门在于基础设施层而非仅是提示词注入。研究构建了涵盖模型训练、推理、应用、云平台及硬件系统五层威胁模型,揭示几乎所有主流平台均可被攻破。建议企业放弃静态防御,建立动态闭环安全策略,聚焦基础设施安全以应对严峻挑战。 综合评分: 92 文章分类: AI安全,漏洞分析,渗透测试,云安全,安全建设

cover_image

几分钟就能黑掉一个AI应用”:专家拆解AI安全的五层“原罪”

原创

网空闲话 网空闲话

网空闲话plus

2026年2月21日 09:12 四川

当整个行业都在为AI提示词注入攻击而焦虑时,两位安全专家历时两年的“极限测试”却得出了一个颠覆性的结论:AI安全的真正命门,藏在那座冰山之下——脆弱的基础设施层。在即将于3月25日举行的RSA Conference 2026上,云安全公司Wiz的研究员Hillai Ben-Sasson和Dan Segev将首次系统性地公开他们的研究成果,为狂奔的AI时代敲响一记警钟。

两年前,当云安全公司Wiz的两位研究员Hillai Ben-Sasson和Dan Segev开始着手“黑客入侵”AI基础设施时,他们预料到会发现漏洞,但他们没想到的是,几乎每一个他们瞄准的主流AI平台,最终都被成功攻破。

这场为期两年的研究,始于对AI供应链中一个已知风险——滥用Pickle格式——的简单测试,最终却演变成对整个AI堆栈五个不同层面的全面威胁评估。两位专家计划在3月25日于旧金山举行的RSA大会上,分享他们这两年“野外作战”的宝贵经验。

核心观点:警惕“繁华”下的地基松动

这项研究得出的最重要教训或许会让许多人感到意外:安全团队应将关注的焦点从大模型本身转向支撑其运转的基础设施。

“别误会,我认为提示词注入绝对是一种新颖的攻击向量,”Wiz数据与AI领域CTO办公室的安全架构师Segev解释道,“但每天都有新技术和服务被引入,比如模型上下文协议(MCP),所有这些新技术在基础设施层面都存在大量漏洞。如果你不关注安全的基本面,不理解威胁模型……那你就是只见树木,不见森林。”

随着83%的首席信息安全官(CISO)对AI访问公司核心系统的权限水平感到担忧,Wiz的这项研究无疑切中了当下企业数字化转型的最大痛点。AI的快速部署正在重蹈过去“速度优先于安全”的覆辙。

五层威胁模型:解剖AI安全风险

基于两年的研究成果,Ben-Sasson和Segev构建了一个涵盖AI全生命周期的五层威胁模型:

  1. 模型训练层:数据泄漏是第一大风险。 研究员们指出,用于训练的数据常常被不当暴露。例如在2023年,Wiz曾发现一个因权限配置过于宽松的分享链接,导致微软用于训练模型的38TB数据险些完全暴露。
  2. 模型推理层:生产环境漏洞频出。 在与用户交互的推理阶段,研究员们在DeepSeek等生产级模型以及Ollama等服务中发现了大量漏洞。
  3. 应用层:“提示词注入”并非唯一,甚至不是最严重的威胁。 除了提示词攻击,这一层最大的隐患来自新兴的“Vibe Coding”(一种AI辅助编程)平台,例如Base44。Wiz研究员发现了一个漏洞,可能导致攻击者访问任何私有企业应用。Segev直言:“我们虽然没有精确数字,但几乎每一个我们试图攻击的‘Vibe Coding’应用,都能在几分钟内被攻破。现实是,AI安全在基础设施层面已经严重受损。”
  4. AI云平台层:一损俱损的供应链风险。 托管着大量模型和应用AI云本身也充满了漏洞。“一旦你攻破了AI云,就等于攻破了该云上的所有客户,”Ben-Sasson强调。
  5. 硬件与系统层:最令人震惊的发现。 这是最底层、影响范围最广的风险。研究员们在NVIDIA的Triton Inference Server中发现了多个漏洞,这些漏洞可以被组合利用,让未经身份验证的攻击者完全控制AI模型。Ben-Sasson感叹:“这也许是所有发现中最疯狂的一个……因为你在一个库里发现漏洞,而所有人都在用这个库。这意味着一个漏洞就能影响所有云服务商、所有AI应用、AI流程的每一个环节。所有人都可能因此暴露在风险之下。”

安全建议:建立“闭环”的主动防御机制

面对如此严峻且深层次的挑战,Segev认为没有快速修复的捷径。他建议企业放弃“部署后就置之不理”的旧模式,转而采用一种动态的、闭环的安全策略。

Wiz目前的做法是使用安全代理对所有代码、服务或应用进行定期的安全审查。随着AI生态系统的每一个新组件被创建,这种机制都能带来持续的合规性检查。

“拥有闭环能力将会成为常态,这将催生更好的协议、更高的标准和更强的安全性,”Segev总结道,“攻击者正变得如此老练,企业不能再长期暴露在漏洞之下。从被发现到被利用,可能只需要几分钟的时间。”

在3月25日的RSA大会上,Ben-Sasson和Segev将首次公开他们的完整威胁模型,并通过一系列真实攻击案例,逐一演示这五个层面的安全漏洞。这场题为 《AI Security in the Wild: Lessons from 2 Years of Hacking AI Infrastructure》 的演讲,无疑将为方兴未艾的AI安全领域,提供一个极具价值的审视视角。

参考资源

1、https://www.darkreading.com/application-security/lessons-ai-hacking-model-every-layer-risky

2、https://path.rsaconference.com/flow/rsac/us26/FullAgenda/page/catalog/session/1755610858692001eqXU

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:网空闲话plus 网空闲话 网空闲话《几分钟就能黑掉一个AI应用”:专家拆解AI安全的五层“原罪”》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0