間接プロンプトインジェクションとクライアント側の回避策を組み合わせることで、攻撃者は通常の画像リクエストを通じて Grafana に機密データを漏らさせることができます。
AI 搭載ダッシュボードでは間接プロンプトインジェクションが可能であり、ユーザー認証なしに機密エンタープライズデータの流出を可能にします。
セキュリティ研究者は、GrafanaGhost というタイトルの Grafana の重大な問題について警告しており、これにより攻撃者は財務指標、インフラストラクチャヘルスデータ、プライベート顧客データ、運用ログなど、Grafana 環境から機密データを漏らすことができます。
Noma Security は脆弱性を Grafana チームに開示し、同チームは脆弱性を検証して修正プログラムをロールアウトしたとのことです。Grafana はコメント要求に対して直ちに応答していません。
Grafana は広く使用されているオープンソースのデータ視覚化および可観測性プラットフォームで、組織がシステム、アプリケーション、およびビジネスメトリクスをリアルタイムで監視できます。Activio の CEO である Ram Varadarajan 氏は「GrafanaGhost は、AI 統合がいかに大きなセキュリティの盲点を生み出すかを完璧に示しています」と述べています。「間接プロンプトインジェクションは従来の防御をバイパスし、認証情報またはユーザーインタラクションを必要としないため、攻撃者は機密運用テレメトリーを静かに流出させることができます。」
Grafana AI を騙して機密データを流出させる
GrafanaGhost は本質的に単一のバグではなく、アプリケーションロジックと AI ガードレール全体で複数の回避策を組み合わせた連鎖型エクスプロイトです。
攻撃は、インジェクションポイント、つまりユーザー制御入力が保存され、後で Grafana の AI コンポーネントによって処理される場所を特定することから始まります。Noma の研究者は、間接プロンプトが組み込まれたパスがシステムに残存し、後で正当な入力として解釈される可能性があることを発見しました。
そこから、攻撃者は間接プロンプトインジェクション技術を使用して AI を操作し、悪意のある指示を実行させます。モデルは、指示を無害なものとして解釈しながら、機密データを含むリクエストを生成するように騙されます。
Noma の開示によると、重要な技術的なブレークスルーは、外部画像読み込みをブロックするために設計されたクライアント側保護のバイパスから得られました。具体的には //attacker.com などのプロトコル相対 URL を使用して URL 検証の欠陥を悪用することで、システムは悪意のある外部リソースを安全なものとして誤って扱い、攻撃者のインフラストラクチャへの送信リクエストを許可します。
最後に、攻撃は INTENT などの特定キーワードをプロンプトに挿入して AI ガードレール自体をかわし、モデルがリクエストが正当であると確信させます。処理されると、システムは画像をレンダリングしようとし、機密データを攻撃者のサーバーに送信されるリクエストに埋め込みます。
このチェーンは、通常のダッシュボードワークフローに溶け込んだ自動化されたゼロクリックデータ流出を効果的に可能にします。Varadrajan はこれを指摘し、攻撃者は「システムコンポーネントをまさに設計されたとおりに使用して、モデルが悪意のあるものとして検証できない指示を使用する」ことでこの盲点を悪用していると述べています。
実際のリスク、それともハイプされたエッジケース?
この発見が新たに発見された脅威を表しているかどうかについて、すべてが確信しているわけではありません。BeyondTrust の SVP およびデプティ CISO である Bradley Smith 氏は、基盤となる技術を「よく文書化されている」と述べ、データ流出につながる間接プロンプトインジェクションが AI 対応プラットフォーム全体で既知のリスクであることに注目しています。
「これはほとんどハイプのように思われます」と Smith 氏は述べ、「より不明確な点は、標準的なエンタープライズネットワークコントロールを備えた強化された Grafana デプロイメントに対する実際の悪用可能性です。」と付け加えました。
それでも、Smith 氏はより広い意味合いを認めました。「これは Grafana の普遍的なバイパスではありません」と彼は言いました。「これは、AI コンポーネントが十分なアーキテクチャコントロールなしで信頼できない入力を処理する場合に何が起こるかのデモンストレーションです。」Grafana AI/LLM 機能が有効になっているかどうかをチェックして GrafanaGhost への露出を特定し、最新バージョンにパッチを適用し、「img-src」を既知のドメインに制限し、出力制御を適用することで、露出から防御することができます、と彼は付け加えました。
