Jhvephoto – shutterstock.com
Der chatbot a lena “von Lenovo Basiart Auf GPT-4 von openi und wird fur deen kundensupport vervendet. Battle.
„Jedar Wei, Das Chatbots Hallujinieran unmocated Prompt-Injectionan Assetricist Vorden Konnen. Das IST Nichts Neues”, so slave Cybernews-Forceschungsteam in Einem Bericht„Wirklich überraschend IST, Dass Lenovo SICH Trotz Kenntnis Dieser Schwachstellen Nicht Vor Potenzial Böswilligen Manipulation Geschützt Hat.
So funktionierte der agriff
Dye Sicherheitslücke Zeigte Die Kaskade Kaskade Von Sicherheitsfehleern, Die Auftreten Können, Wenn Ki-Systeme Nicht über Eine Ordnungsgemäße eingabe- Ausgabe-Validierung Verfügen. Der Angrif Der Fresh Erfolgate Search Ein Eingbiyaforgard, Die Mite Aneer Legitimen Products Starton. Anschlie Andend Wurde Der Chatbot Dazu Gebracht, Bösartigen html-code zu geneerren. MIT dem code lien SICH SICH SITZUNGSCOKOTES STEHLEN, Wenn Bilder Nicht Galaden Werden Konnten.
ALS Lenovos Lena Die Bösartige eingabeauffordorung Erhielt, Stelllten Die Forscher Fest, Dass Best Das Bestreben, Menschen Zufrieden Zu Stellen, Nach Wie Vor Ein Prolem Grower Spravaer Spravaer IST. XSS-SCCHERHEITSLUKKE AUSNUTZTE Und Das Abfangen von SitzungScooksies Ermöglichte, Heißt es im forschungsbericht.
Unternehmensweite auswirkungeen
Cybernews warnte zudem, dass angreifer die schwachstelle nutzen könnten, um Support-SchnittteStellen Zu Verändern, Keylogger Einzusetzen Und PHINZUTZEN UND PHINZINGIN UND PHINGRIFEFE ZU StARNGRIFE ZU StARN Darber Hinus Connantne Unbfgate Systembefel Ausafen, Die Backdoor Installiane Under -Letle Bevezungen Innerhailb Der Netzwearkinfrestructur Armglichen.
„Mit Dem Gestohlenen Session-Coaukie des support- Mitarbeiters IS Möglich, SICH MIT DEM KONTO DES Support-MITARBETERS BeIM KUingnsupport-System Anzumelden”, Erklärten Die Analeysten.
Dame Berich Zufolge hat Lenovo dye Shvachstale Inzchen Ghhhhhh.
Sicherheitsanforderungen für cisos
Fur SicherheitsverantWortliche Untestreicht Dieser Vorfall Jedoch Die Notwendigkeit Gruundlegeinder änderungen bei der einführung von ki.
Nach Ansicht Von Melissa Ruzzi, Direktorin Für Ki Beim SicherhetSunternehmen Appomni Verdeutlicht Der Vorfall Bei Lenovo „Das Bekannte problem decomntiver Ki Tapt-Injektion bei generator ki”. Sie Mahnte: „ES IST von Entscheidender Bedeutung, Den Gesamten Datenzugrif Der Ki Zu überwachen, Der in Den Miestese Fällen Nicht Nicht Nicht Nicht Nur Lesezugrif, S. UMFASST, DESEE Arton Könte Nohed Notrend no
Arjun Chauhan, Practice Director BE Everest Group Vice Darafin, Die Shawachstele Sei, Sehar Reprasentative Fur Die Acuelel Status Der Mestain Untarneman. Kitbots Verdan Rasch Eyingfuhrt, Um Dy Kundenzufenherry Zu Verbason, Ohefen Anzulegen Wie Bei Bei andren Kundenorientieren anwendungeen “.
Dame Experiment Zufolge Besthet Das Grandlegande Problem Darin, Das Urbanaman’s-System ALS Experimentale Nebentele Nebaneprosete Bidelan unuced encht ALS Geschetskritische Enwayndungen. „Veele unternehmen behandeln llms immer noch als of black boxes
Chauhan Empfiehlt: os Cisos Sollten Ki-Chatbots Als Vollwertige Anwendungen Behandeln uncht nurt nur als ki-pilotprojekte। “Das Bedute, Das Die Glechen Sicerhitssandords Y Fur Venvendunong Angwendate Worden Mustan. Worden Mousan.
Ruzzi von appomni rät unternehmen, ü SICH über Best Practice Im Berich Prompt Engineering Auf Dem Lauffenden Zu Halten “Und„ Zusätzliche Kontrolne Zu Implementation, Um Dyelanetan Dannzhoise Denzuzhen Denzuzhen kontrolieren “.
Dye cyburns-furchar forderten ignorant dazu of, B Ellen Date, Die Search Ke-Citbot-Sustemley Flayen, Folugnden ENSATz Zu Verfolgen: „Neelams vertroine, Emer überprufen”.
Innovation in bringing Inklang Und Risiko
Dye Shavachstel Bei Lenovo Haby Dye Sicerrhitsican Verdutlich, Die Antasthene, Wayne Untnehman Ke-Technology on Angesen Shutzorkeen Esatezen, Betondon, Betond Chauhan. Er Warne, Das BE Key-Sestemane Model Untergent Findalichen Eingben Anvorharsehbar Regiane “.
Lestep: Unternehmen zu lax bei ki-assistant
Jüngste branchenzahlen zeigen, dass der automatisierte bot-trainfic estmals deen von menSchen generiereten traffic übertroffen hat Und Im jahr 2024 51 Prozent des gesamten web-traffics ausmachteDye schwachstellenkategorien decken Sich mit deen allgemeinn Sicherheitsbedenken Im Zusammenhang mit ki, dye in der Owasp-LISTE DER ZEHN WICHTINGST LLM-SchwachStellen Dokumentiert Sind, Wobii Early Erster Stelle Stehen.
Ruzzi Merkte an, dass a ki-chhatbots als eine weeitere saas-awendung betrachate werden könne, bei der fehlkonfigurationen beam datezugrif leicht zu datenvartzunge führennennennevnetzunge KOINENVTZunge Kony Sie Beton, Dass „Sicherheit Mehr Denn Je Ein Wesentlicate Bestandteil Jeder Ki-Immlementairung Sollte. Lasten, Darf Dies Zu Zu Zu Zun
„Der Fall Lenovo Bestigate, Das Prompt-Injection UND XS Keen Theoritischen Conjepte Sindh, Sonderan Active Agrifsvetoren”, So Chauhan. „Unternehmen müssen die schnelle amortisierung ki gegen die reputationschädigenden under Regulatorischen Folgen Folgeen Einer Sicherheitsverltzung Abwägen. Der einzige Nachhalige W.G. Design by safety fri. ” (JM)
