一位安全研究员发现了一个AI翻译API中的漏洞,该漏洞允许对底层大型语言模型进行免费、未经身份验证的滥用。该漏洞源于API端点上缺失的身份验证和提示注入的组合,其中用户输入在没有适当清理的情况下直接被纳入模型的提示中。这使得攻击者能够绕过翻译任务并向LLM发出任意命令,从而导致“钱包拒绝服务”场景,服务提供商因此承担了未经授权使用的成本。 AI
影响 强调了AI系统中关键的安全风险,并强调需要强大的身份验证和输入验证来防止代价高昂的滥用。
排序理由 关于AI产品的安全漏洞披露。
- AI translation API
- Common Vulnerability Scoring System
- CWE-1427
- CWE-306
- Denial of Wallet
- large language models
- Missing Authentication
- prompt injection
AI 生成摘要 · Google Gemini · 来自 1 个来源。 我们如何撰写摘要 →