Cosa rivela l'incidente di Stryker sulle strategie di attacco di Handala.
Leggi il blog

Cosa rivela l'incidente di Stryker sulle strategie di attacco di Handala. Leggi il blog →

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso
  1. Blog
    >
  2. MITRE ATLAS

How MITRE ATLAS Helps Detect LLM Attacks in Cloud AI

June 18, 2025
6/18/2025
Zack Abzug
Responsabile della scienza dei dati
Alex Groyz
Architetto Cloud
How MITRE ATLAS Helps Detect LLM Attacks in Cloud AI

Man mano che le organizzazioni integrano l'IA nei sistemi mission-critical, la superficie di attacco si estende oltre cloud tradizionali cloud IT e cloud . ATLAS colma questa lacuna documentando scenari di attacco specifici per l'IA, comportamenti reali degli avversari e strategie di mitigazione su misura per gli ambienti basati sull'IA.

Che cos'è il framework MITRE ATLAS?

MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems) è una base di conoscenze dinamica e accessibile al pubblico che cataloga le tattiche e le tecniche degli avversari che prendono di mira i sistemi basati sull'intelligenza artificiale. Ispirato al framework MITRE ATT&CK® ampiamente adottato, ATLAS è pensato su misura per le minacce, le vulnerabilità e i rischi specifici posti dalle tecnologie di intelligenza artificiale.

ATLAS è una risorsa curata basata su:

  • Osservazioni relative ad attacchi reali
  • Dimostrazioni del red team AI
  • Ricerca sulla sicurezza da parte di governo, industria e mondo accademico

Descrive come gli avversari prendono di mira i sistemi di intelligenza artificiale e apprendimento automatico, inclusi comportamenti, tecniche e strumenti specifici o adattati ai contesti di intelligenza artificiale.

Dall'uso delle armi all'abuso delle infrastrutture: un cambiamento nell'attenzione degli aggressori

La stragrande maggioranza delle attività coinvolge attori malintenzionati che utilizzano l'IA generativa per accelerare le loro campagne attraverso attività quali:

  • Scrivere phishing o script di ingegneria sociale
  • Ricerca di vulnerabilità o tecniche
  • Risoluzione dei problemi relativi malware allo sviluppo di strumenti
  • Generazione di contenuti per truffe o identità false Ma un fenomeno ancora più preoccupante sta attirando l'attenzione: gli aggressori stanno utilizzando tattiche in continua evoluzione in cui lo sfruttamento delle risorse LLM cloud, come AWS Bedrock e Azure AI Foundry, è diventato un vettore sempre più diffuso per ottenere profitti e commettere abusi.
AWS Bedrock
Figura: Amazon Bedrock è un servizio che aiuta gli utenti a creare e scalare applicazioni di IA generativa. Si tratta di un servizio completamente gestito che supporta l'implementazione di modelli fondamentali di Anthropic, Meta e altri.

I modelli LLM pubblici possono generare testo o fornire assistenza nella scrittura di script, ma i modelli cloud sono profondamente integrati nei flussi di lavoro aziendali di alto valore. Questi sistemi offrono agli avversari l'accesso a risorse di calcolo, dati sensibili e ambienti di esecuzione affidabili.

Meme che illustra il fatto che gli hacker preferiscono abusare cloud piuttosto che utilizzarla per scopi generici.

Perché attaccare l'IA cloud invece dei modelli open source gratuiti?

Cloud come AWS Bedrock e Azure AI Foundry sono obiettivi interessanti perché:

  • Esporre l'infrastruttura multi-tenant: una vulnerabilità nei componenti condivisi può avere un impatto su più clienti.
  • Fornire accesso ai dati aziendali riservati: in particolare quando collegati ai flussi di lavoro RAG (retrieval-augmented generation), che migliorano le risposte LLM recuperando e inserendo dati aziendali da fonti di conoscenza collegate.
  • Consentire l'abuso delle integrazioni di fiducia e identità: Cloud e i ruoli IAM possono essere sfruttati per l'escalation dei privilegi o il movimento laterale.
  • Costo di funzionamento: gli aggressori possono sfruttare questa vulnerabilità dirottando le risorse di calcolo (LLMjacking).

L'abuso di queste piattaforme consente agli avversari di operare con maggiore discrezione e un maggiore ritorno sull'investimento rispetto all'utilizzo di API open source o pubbliche.

Perché gli avversari prendono di mira l'infrastruttura dell'IA generativa

Attackers targeting cloud-based GenAI services are motivated by three primary objectives: financial gain, data exfiltration, and destructive intent. Their success depends heavily on how they gain initial access to enterprise infrastructure.

1. Guadagno finanziario

Gli aggressori potrebbero cercare di dirottare gli account aziendali o sfruttare infrastrutture configurate in modo errato per eseguire attività di inferenza non autorizzate, una tattica nota come LLMjacking. Possono anche abusare dei servizi cloud per ottenere calcoli gratuiti o accesso monetizzato ai modelli.

2. Esfiltrazione

Sophisticated adversaries aim to extract proprietary models, training data, or sensitive enterprise documents accessed via RAG (retrieval-augmented generation) systems. Inference APIs can also be abused to leak data over time.

3. Distruzione

Alcuni attori cercano di compromettere le prestazioni o la disponibilità del sistema lanciando attacchi denial-of-service, compromettendo i processi di addestramento o alterando i risultati dei modelli.

Sebbene l'uso improprio dei modelli linguistici pubblici (LLM) consenta alcune attività di attacco, i vantaggi strategici derivanti dal prendere di mira l'infrastruttura GenAI aziendale (accesso ai dati, scalabilità e sfruttamento della fiducia) lo rendono un vettore più attraente e di maggiore impatto.

Come MITRE ATLAS ti aiuta a comprendere e mappare queste minacce

MITRE ATLAS offre una visione strutturata delle tattiche e delle tecniche utilizzate nel mondo reale contro i sistemi di IA, che si riflettono direttamente nei rischi riscontrati in piattaforme come AWS Bedrock, Azure AI e altri servizi GenAI gestiti.

ATLAS copre un'ampia gamma di tecniche che vanno oltre quelle relative all'infrastruttura AIcloud, tra cui la ricognizione dei modelli AI, l'avvelenamento di modelli o set di dati open source, la compromissione dei plugin LLM e molte altre.

Ecco alcuni esempi di tecniche specifiche che un autore di minacce potrebbe sfruttare nel processo di attacco a un'infrastruttura AIcloud:

Accesso iniziale

  • Conti validi (AML.T0012): gli avversari spesso acquisiscono credenziali legittime tramite phishing , credential stuffing o violazioni della catena di approvvigionamento.
  • Sfruttare le applicazioni rivolte al pubblico (AML.T0049): gli endpoint poco protetti o esposti (ad esempio, assistenti RAG o API) possono essere utilizzati per ottenere un primo accesso ai sistemi GenAI.
Ecosistema Dark Web per LLMjacking — Gli account compromessi e le chiavi AWS IAM vengono venduti attraverso servizi clandestini, consentendo ai consumatori di eseguire carichi di lavoro di inferenza non pagati su LLM cloud.
Figura: Ecosistema Dark Web per LLMjacking — Gli account compromessi e le chiavi AWS IAM vengono venduti tramite servizi clandestini, consentendo ai consumatori di eseguire carichi di lavoro di inferenza non pagati su LLM cloud.

Accesso al modello AI

  • Accesso all'API di inferenza del modello AI (AML.T0040): Ottenere accesso diretto alle API di inferenza per eseguire query o carichi di lavoro non autorizzati.
  • Prodotto o servizio basato sull'intelligenza artificiale (AML.T0047): mirato al software aziendale integrato con GenAI per manipolare l'output o estrarre dati interni.

Esecuzione

  • LLM Prompt Injection (AML.T0051): Injecting malicious inputs that subvert guardrails or logic, especially in RAG or workflow-integrated systems.

Evasione dei privilegi/Evasione delle difese

  • LLM Jailbreak (AML.T0054): Elusione dei controlli del modello per sbloccare funzioni soggette a restrizioni o generare contenuti dannosi.
Dopo che la ricognizione ha confermato l'abilitazione dei modelli LLM, disabilitano la registrazione dei prompt per nascondere le loro tracce. Disattivando la registrazione, impediscono al sistema di registrare i loro prompt illeciti, rendendo difficile individuare ciò che stanno facendo con i modelli dirottati.
Figura: dopo aver verificato che i modelli LLM siano abilitati, disattivano la registrazione dei prompt per nascondere le loro tracce. Disattivando la registrazione, impediscono al sistema di registrare i loro prompt illeciti, rendendo difficile individuare ciò che stanno facendo con i modelli dirottati.

Scoperta

  • Scopri la famiglia di modelli AI (AML.T0014): Identificazione dell'architettura del modello o delle caratteristiche del fornitore per personalizzare gli attacchi.
  • Scopri i manufatti dell'intelligenza artificiale (AML.T0007): Individuazione di log, cronologie dei prompt o set di dati che rivelano informazioni interne al sistema.
Flusso di attacco per l'attivazione non autorizzata di modelli: una volta entrati in un cloud utilizzando chiavi IAM compromesse, gli avversari eseguono una ricognizione per individuare i modelli fondamentali, li abilitano e avviano l'inferenza, causando costi e rischi per la vittima.
Figura: Flusso dell'attacco per l'attivazione non autorizzata del modello — Una volta entrati in un cloud utilizzando chiavi IAM compromesse, gli avversari eseguono una ricognizione per individuare i modelli fondamentali, li abilitano e avviano l'inferenza, causando costi e rischi per la vittima.

Raccolta ed esfiltrazione

  • Dati provenienti da archivi informativi (AML.T0036): Raccogliere dati strutturati/non strutturati recuperati tramite RAG o incorporati nei servizi di intelligenza artificiale.
  • Esfiltrazione tramite API di inferenza AI (AML.T0024): estrarre lentamente i dati abusando del livello di inferenza.
  • LLM Perdita di dati (AML.T0057): Provoca una fuga di dati involontaria attraverso query accuratamente elaborate.

Impatto

  • Rifiuto del servizio di IA (AML.T0029): sovraccaricare o interrompere gli endpoint AI per ridurne la disponibilità.
  • Danni esterni (AML.T0048): causano danni finanziari, reputazionali, legali o fisici abusando dei sistemi di IA o manipolando i risultati dell'IA in applicazioni critiche.
aggressore che sfrutta credenziali IAM rubate
Figura: anche in questo caso l'autore dell'attacco inizia sfruttando le credenziali IAM rubate, seguite dalla ricognizione. Successivamente, l'autore dell'attacco può verificare se sono presenti protezioni per i modelli abilitati. Se l'autore dell'attacco dispone di autorizzazioni sufficienti, può persino manomettere le protezioni e rendere il modello più vulnerabile, in particolare quelli personalizzati.

Queste tecniche illustrano come gli aggressori sfruttino ogni livello dell'infrastruttura AI: accesso, esecuzione, dati e impatto. MITRE ATLAS fornisce la mappatura necessaria ai team SOC per dare priorità ai rilevamenti, convalidare le difese e svolgere efficacemente attività di red teaming negli ambienti AI aziendali.

Come Vectra AI con MITRE ATLAS

Vectra AI la sua logica di rilevamento su MITRE ATLAS per aiutare i team SOC a identificare:

  • Identità che accedono in modo sospetto a piattaforme GenAI come AWS Bedrock e Azure AI Foundry
  • Tentativi di eludere le difese e ostacolare le indagini sull'abuso della GenAI
  • Uso anomalo dei modelli GenAI compatibile con la compromissione cloud

Oltre a mettere in luce questi comportamenti, l'agente di prioritizzazione AI di Vectra amplifica l'attenzione degli analisti aumentando i profili di rischio delle identità associate ad accessi sospetti e abilitando modelli GenAI. Poiché Vectra AI un rilevamento senza agenti e basato sull'identità in ambienti cloud ibridi cloud SaaS, è in una posizione unica per rilevare minacce che gli strumenti tradizionali potrebbero trascurare, specialmente nei flussi di lavoro integrati con l'AI.

AML.TA0004
Accesso iniziale		 AML.TA0000
Accesso al modello AI		 AML.TA0005
Esecuzione		 AML.TA0012
Elevazione dei privilegi		 AML.TA0007
Evasione della difesa		 AML.TA0008
Scoperta		 AML.TA0009
Collezione		 AML.TA0010
Esfiltrazione		 AML.TA0011
Impatto
Conti validi Accesso all'API di interferenza del modello AI LLM Prompt Injection LLM Jailbreak LLM Jailbreak Scopri la famiglia di modelli AI Dati provenienti da archivi informativi Esfiltrazione tramite API di inferenza AI Rifiuto del servizio AI
Sfruttare le applicazioni rivolte al pubblico Prodotto o servizio basato sull'intelligenza artificiale Scopri i manufatti dell'intelligenza artificiale LLM Perdita di dati Danni esterni
Phishing

Panoramica della nostra attuale visibilità sulle tecniche e sottotecniche definite nel framework ATLAS di MITRE (pubblicato il 17 marzo 2025).

La situazione sta cambiando. L'IA generativa non è più solo uno strumento nelle mani degli hacker, ma è diventata essa stessa un obiettivo. E con la crescente diffusione nelle aziende, anche la sofisticazione di questi attacchi aumenterà. Utilizzando framework come MITRE ATLAS e implementando soluzioni come la Vectra AI , i team di sicurezza possono stare al passo con l'evoluzione delle minacce e garantire che l'IA offra valore senza compromettere l'integrità.

Domande frequenti