Un grupo de acad\u00e9micos ha demostrado nuevos ataques que aprovechan los modelos Text-to-SQL para producir c\u00f3digo malicioso que podr\u00eda permitir a los adversarios obtener informaci\u00f3n confidencial y realizar ataques de denegaci\u00f3n de servicio (DoS).<\/p>\n
“Para interactuar mejor con los usuarios, una amplia gama de aplicaciones de bases de datos emplean t\u00e9cnicas de IA que pueden traducir preguntas humanas en consultas SQL (es decir, Texto a SQL<\/a>),” Peng Xutan<\/a>investigador de la Universidad de Sheffield, a The Hacker News.<\/p>\n “Descubrimos que al hacer algunas preguntas especialmente dise\u00f1adas, los crackers pueden enga\u00f1ar a los modelos Text-to-SQL para producir c\u00f3digo malicioso. Como dicho c\u00f3digo se ejecuta autom\u00e1ticamente en la base de datos, la consecuencia puede ser bastante grave (por ejemplo, violaciones de datos y ataques DoS) .”<\/p>\n \u00c9l recomendaciones<\/a>que fueron validados frente a dos soluciones comerciales UNIDAD BAIDU<\/a> y AI2sql<\/a>marcan la primera instancia emp\u00edrica en la que los modelos de procesamiento de lenguaje natural (NLP) se han explotado como un vector de ataque en la naturaleza.<\/p>\n Los ataques de caja negra son an\u00e1logos a inyecci\u00f3n SQL<\/a> fallas en las que la incrustaci\u00f3n de una carga \u00fatil no autorizada en la pregunta de entrada se copia en la consulta SQL construida, lo que genera resultados inesperados.<\/p>\n Las cargas \u00fatiles especialmente dise\u00f1adas, descubri\u00f3 el estudio, podr\u00edan armarse para ejecutar consultas SQL maliciosas que podr\u00edan permitir que un atacante modifique las bases de datos back-end y lleve a cabo ataques DoS contra el servidor.<\/p>\n Adem\u00e1s, una segunda categor\u00eda de ataques explor\u00f3 la posibilidad de corromper varios modelos de lenguaje previamente entrenados (PLM<\/a>) (modelos que han sido entrenados con un gran conjunto de datos sin depender de los casos de uso en los que se aplican) para activar la generaci\u00f3n de comandos maliciosos basados \u200b\u200ben ciertos activadores.<\/p>\n “Hay muchas maneras de plantar puertas traseras en marcos basados \u200b\u200ben PLM al envenenar las muestras de capacitaci\u00f3n, como hacer sustituciones de palabras, dise\u00f1ar indicaciones especiales y alterar los estilos de las oraciones”, explicaron los investigadores.<\/p>\n Los ataques de puerta trasera en cuatro modelos de c\u00f3digo abierto diferentes (BART-BASE<\/a>, BART-GRANDE<\/a>, T5-BASE<\/a>y T5-3B<\/a>) utilizando un corpus envenenado con muestras maliciosas logr\u00f3 una tasa de \u00e9xito del 100 % con un impacto m\u00ednimo perceptible en el rendimiento, lo que hace que estos problemas sean dif\u00edciles de detectar en el mundo real.<\/p>\n Como medidas de mitigaci\u00f3n, los investigadores sugieren incorporar clasificadores para verificar cadenas sospechosas en las entradas, evaluar modelos listos para usar para prevenir amenazas en la cadena de suministro y adherirse a buenas pr\u00e1cticas de ingenier\u00eda de software.<\/p>\n <\/p>\n