Det råder en enorm hajp kring AI, med så kallade stora språkmodeller (LLM, efter engelskans large language model) i spetsen. Open AI:s GPT, Googles Gemini och Midjourney tillhör de mer välkända men företag runt om i världen skapar nya hela tiden och bygger olika produkter ovanpå existerande system.

Nu har en grupp forskare vid Cornell Tech-universitetet tagit fram det första kända skadeprogrammet som infekterar och sprider sig i LLM-system, rapporterar Wired (via Ars Technica). Forskarna har döpt skadeprogrammet, som är en typ av mask, till Morris II. Morris ”den äldre” var en ökänd mask som lamslog internet när utvecklaren släppte lös den 1988.

Forskarna utvecklare Morris II och släppte lös den i ett testsystem med en LLM-baserad e-postassistent, och kunde visa hur masken kan sprida sig och både stjäla data från mejl och skicka spam. De kunde även visa hur den kan kringgå säkerhetsbegränsningar i både Chat GPT och Gemini.

En första attack går, som så ofta, ut på att skicka ett specialformaterat mejl till en adress som AI-assistenten hanterar. Innehåll i mejlet lurar AI:n att öppna sig för ytterligare attacker. En annan attack forskarna har visat går ut på att baka in en AI-förfrågan i en bildfil som när den når systemet får AI-assistenten att skicka vidare mejlet och på så vis sprida masken vidare.

Än så länge har inga attacker med liknande skadeprogram drabbat några AI-tjänster utanför testlabb, men säkerhetsforskare som Wired har talat med varnar utvecklare att ta hotet på allvar.