Функцию распознавания лиц в Windows 10 можно обмануть фотографией

Функцию распознавания лиц в Windows 10 можно обмануть фотографией

Функцию распознавания лиц в Windows 10 можно обмануть фотографией

Функцию распознавания лиц, реализованную в Windows 10 Creators Update, получившую имя Hello, можно обмануть обычной фотографией. Об этой уязвимости сообщили эксперты компании Syss, проводящей тестирования на проникновение.

Даже если вы установили октябрьские обновления, которые, по идее, устраняют недостаток (билд 1703 или 1709), функцию распознавания лиц придется настроить с нуля, чтобы исключить подобный вектор атаки.

Простые атаки типа «спуфинг» — в этом случае достаточно напечатанной фотографии авторизованного пользователя (сделанной на фронтальную камеру), чтобы злоумышленник мог войти в заблокированную систему Windows 10.

По словам Syss, уязвимость затрагивает как стандартную конфигурацию Windows Hello, так и ее расширенную функцию защиты от спуфинга.

«Если защита от спуфинга активирована, злоумышленнику придется использовать немного измененную фотографию с другими атрибутами, но сути и простоты вектора атаки это не меняет», — отмечают эксперты.

Исследователи протестировали свою атаку на Dell Latitude под управлением Windows 10 Pro, сборка 1703, а также на Microsoft Surface Pro с билдом 1607.

Ниже мы приводим три видеоролика с доказательством концепции.

Новый вектор ProAttack позволяет незаметно внедрять бэкдоры в LLM

Промпт-инжиниринг давно стал нормой при работе с большими языковыми моделями. Но, как выясняется, вместе с удобством он приносит и новую поверхность атаки. Исследователи представили вектор под названием ProAttack, который позволяет внедрять бэкдор в модель через промпты, причём делать это почти незаметно.

В тестах атака показывала эффективность, близкую к 100%, причём без классических красных флагов вроде странных токенов или подмены меток.

В обычных атаках на NLP-модели злоумышленники добавляют в данные подозрительные слова или фразы и меняют метки. Такие вещи уже научились отслеживать. 

ProAttack идёт другим путём. Вместо явных «триггеров» он использует разные промпты для обучающих данных:

  • для части данных (целевая категория) — вредоносный промпт;
  • для остальных — обычный, чистый.

 

При этом сами тексты выглядят нормально, а метки остаются корректными. В итоге модель учится ассоциировать конкретный промпт с нужным злоумышленнику результатом.

А дальше всё просто: на этапе использования достаточно подать вход с этим промптом, и бэкдор срабатывает.

Особенно опасно, что атака остаётся эффективной даже при небольшом количестве данных. В ряде случаев хватало буквально нескольких (около шести) «отравленных» примеров, чтобы внедрить бэкдор.

Метод протестировали на разных задачах, включая даже медицинские сценарии (например, суммаризацию радиологических отчётов). И там он тоже показал высокую эффективность, практически не ухудшая качество работы модели.

Исследователи проверили ProAttack против популярных методов защиты — ONION, SCPD, back-translation и fine-pruning. Ни один из них не смог полностью остановить атаку.

В качестве возможного решения предлагается использовать LoRA (parameter-efficient fine-tuning). Идея в том, что такие методы ограничивают количество параметров, которые модель может менять при дообучении. А значит, ей сложнее запомнить связь между триггером и целевым результатом.

RSS: Новости на портале Anti-Malware.ru