ServiceNow AI代理中发现的新漏洞可被诱骗相互攻击。

据 SaaS 安全公司 AppOmni 详细介绍，ServiceNow 的 Now Assist 平台中存在一个新的漏洞，恶意行为者可以利用该漏洞操纵其 AI 代理执行未经授权的操作。

AppOmni 的 SaaS 安全主管 Aaron Costello 表示，软件中的默认配置（使代理能够相互发现和协作）可以被利用来发起远超单个恶意输入的提示注入攻击。

该漏洞允许攻击者在代理稍后读取的数据字段中植入隐藏指令，这可能会悄悄地寻求同一 ServiceNow 团队中其他代理的帮助，从而引发连锁反应，导致数据窃取或权限提升。 

科斯特洛将这种情况解释为“二阶提示注入”，即当人工智能处理来自系统另一部分的信息时，攻击就会出现。

“这一发现令人担忧，因为它不是人工智能中的错误；这是某些默认配置选项所定义的预期行为 defi于 AppOmni 博客上的文章中指出 发表 。

ServiceNow Assist AI 代理面临协同攻击

根据 Costello 在博客中引用的调查，许多部署 Now Assist 的组织可能没有意识到他们的代理被分组到团队中，并设置为matic发现彼此，以执行看似“无害的任务”，而该任务可能会演变成协同攻击。 

他说：“当特工能够互相发现和招募时，一个看似无害的请求可能会悄悄地变成攻击，犯罪分子会窃取敏感数据或获得更多访问公司内部系统的权限。”

Now Assist 的一大卖点在于它无需开发人员干预即可协调不同客服人员，将他们整合到单一工作流程中。在这种架构下，如果某个客服人员无法独立完成任务，则不同专长的客服人员可以协同合作。 

为了让代理在后台协同工作，该平台需要三个要素。首先，底层大型语言模型必须支持代理发现功能，这项功能已集成到默认的 Now LLM 和 Azure OpenAI LLM。 

其次，这些代理必须属于同一个团队，当它们部署到默认虚拟代理体验或 Now Assist 开发人员面板等环境时，系统会matic进行此操作。最后，代理必须标记为“可发现”，当它们发布到频道时，系统也会matic进行此操作。

一旦满足这些条件，AiA ReAct 引擎就会像经理指挥下属一样，在各个代理之间路由信息并分配任务。同时，协调器执行发现功能，并dent哪个代理最适合承担任务。 

它只会搜索团队中可发现的代理，有时甚至超出管理员的想象。当任何代理被配置为读取并非由发起请求的用户直接提交的数据时，这种互连架构就会变得脆弱。 

科斯特洛推测：“当该代理人随后在正常操作中处理数据时，可能会在不知不觉中招募其他代理人来执行诸如复制敏感数据、更改记录或提升访问级别等功能。”

AI代理攻击可以提升权限，从而入侵账户。

AppOmni发现，Now Assist代理会继承权限，并在发起工作流程的用户授权下执行操作。低级别攻击者可以植入恶意提示，该提示会在权限更高的员工的工作流程中被激活，从而在无需入侵其帐户的情况下获得访问权限。

AppOmni 的分析指出：“由于人工智能代理通过决策和协作链运行，注入的提示可能会比管理员预期的更深入地渗透到企业系统中。”

AppOmni 表示，攻击者可以重定向看似对未经训练的代理无害的任务，但一旦其他代理通过其专门能力放大指令，这些任务就会变得有害。 

该公司警告称，这种动态会给对手提供机会，让他们在不引起怀疑的情况下窃取数据。“如果企业不仔细检查其配置，他们很可能已经面临风险，”科斯特洛重申道。

LLM 开发商 Perplexity在 11 月初的一篇博客文章中表示，新的攻击途径扩大了潜在攻击手段的范围。 

该公司写道：“几十年来，我们首次看到来自任何地方的新型攻击途径。”

NeuralTrust 公司的软件工程师 Marti Jorda Roca 表示，公众必须明白“从安全角度来看，使用人工智能存在一些特定的危险”。