頒發「ESCO-經營績優獎(非中小企業組)」予台灣西門子,由智慧建築業務總監彭樹裕代表受獎。-e1766140089707.jpg)
2023年,Mercedes-Benz成為第一批將AI小幫手(以ChatGPT形式)整合進車輛的汽車製造商之一。隨著AI持續主導科技潮流,這象徵汽車產業已開始一場廣泛但不令人意外的轉變開端。到了2024年的CES展會,包括BMW和Volkswagen在內的更多車廠也紛紛展示了各自的AI小幫手(AI assistant)原型。
從汽車網路安全的角度來看,這些創新提供了便利與智慧化體驗,但也帶來新的資訊安全挑戰。這種日益普及的應用萌生出一個關鍵問題:人工智慧所帶來的便利性是否大於並足以抵銷其潛在的安全風險?AI小幫手本身就存在安全漏洞,並導入了新的攻擊途徑。這些風險在汽車領域尤其令人擔憂,因為後果可能波及深遠。
本文將探討一種已被廣泛證實、針對AI大型語言模型(LLM)和小型語言模型(SLM)的攻擊方法,即所謂的提示注入(Prompt Injection),如何在車輛環境中被利用—以及當其應用於汽車環境時,風險將如何呈現出新的面向。
什麼是AI提示注入?
AI提示注入是一種攻擊技術,攻擊者在輸入過程中嵌入隱藏或誤導性的指令來操縱AI系統的行為,其目的通常是想要繞過安全措施或是更改原本預期的輸出(圖1)。這項技術於2022年5月首次由Jonathan Cefalu提出,並且同年9月在Riley Goodside的演示後引起了更廣泛的關注。在其中一個示範中,Goodside指示ChatGPT「忽略先前的指示」並返回其提示詞的前50個字,成功洩露了系統層級的資訊。
此後,研究人員的試驗結果,不斷證明了基於AI模型的應用程式可以被誘導執行超出其原始設計範圍的操作,引發了人們對濫用、資料外洩和失控的嚴重擔憂。
隱形字元的威脅
提示注入中較隱晦的形式有涉及不可見的Unicode字元—這些符號存在於文字字串中但人眼無法看到。然而,真正的危險不僅在於這種隱形性,而是Unicode具備的特殊功能,這些特殊功能會影響系統如何解讀和處理輸入的方式,例如反轉文字方向或隱藏部分文字。因此,攻擊者可以利用這些字元作為武器,將惡意指令隱藏在原本無害的輸入中。攻擊者可以藉此誘騙AI系統在不引起警覺的情境下執行未經授權的操作,洩露敏感或機密訊息,或者是繞過傳統的安全過濾機制以進行各種惡意行為。
Unicode提示注入所帶來的操作使偵測變得複雜,因為開發人員和使用者都可能無法察覺到提示中隱藏字元的存在,加深偵測的難度。
Trojan Source漏洞與安全程式碼假象
另一個相關但更廣泛的擔憂是木馬源(Trojan Source)漏洞(CVE-2021-42574),該漏洞允許攻擊者透過插入特殊的Unicode控制字元來操縱程式碼的視覺呈現方式。攻擊者可以重新排序或遮蔽原始碼邏輯,使開發人員誤判以為某段程式碼是無害的,但實際上並非如此。
Trojan Source漏洞並不僅限於AI系統。然而,它強調了一個關鍵原則:對人類而言看似無害的輸入,機器可能會做出截然不同的解讀。在AI模型領域,研究人員已經利用類似的技術來繞過安全準則,致使模型外洩機密內容或是依循未經授權的指令,而這一切僅需精心設計的Unicode模式即可達成。
車輛中的AI提示注入攻擊
一次AI提示注入攻擊在車輛內部可能會怎麼神展開呢?它又會帶來什麼後果?想像一輛車上載有乘客然後駕駛開車在路上行駛。車上的車載資訊娛樂系統(IVI)配備了內建AI小幫手,能夠大聲朗讀訊息以及語音指令回應的能力。
攻擊者向駕駛發送一則看似無害的訊息,但其中實際嵌入了隱藏的Unicode字元,隱藏了一段惡意提示。駕駛要求AI小幫手大聲朗讀訊息,他實際上只聽得到訊息中的正常內容。因為朗讀的背後,AI卻是解讀並且執行了被隱藏起來的惡意指令。
後果可能非常嚴重。AI小幫手很可能被誘導洩露敏感資料、做出異常行為(例如覆蓋掉預設的回應)或是為後續的攻擊建立後門—而駕駛實際上對此根本一無所知。這類的攻擊尤其難以追蹤,因為駕駛方和車輛介面均看不到指令,傳統的日誌記錄或是警示系統可能完全無法察覺這些異常行為。
搶先應對AI安全風險
搭載AI賦能的小幫手和IVI系統正迅速成為現代汽車的標配。這些技術和應用帶來更高的便利性、智慧自動化和流暢的用戶體驗。但伴隨這進步而來的是一類全新、難以察覺的風險。AI提示注入就是一個很好的例子。它常常被認為是生成式AI最迫切的安全問題之一,突顯出汽車系統迫切需要嚴格落實AI輸入驗證以及文字清理的步驟。
然而,提示注入只是AI在汽車應用中所帶來更廣泛挑戰的一部分。AI正在多個領域改變汽車,從駕駛輔助和個人化到預測性維護,甚至汽車網路安全本身。如果沒有積極主動的安全策略,這些意欲提升駕駛體驗的AI功能和創新,可能會成為潛伏在人們視線之外的新攻擊途徑。
隨著AI越來越融入駕駛體驗,安全性也必須同步融入—不僅僅是事後附加的一層防護,而應是AI在車輛中被設計、部署與維護過程中不可或缺的核心元素。
(本文由VicOne車用資安研究團隊提供)
