Um den Angriff durchzuführen, muss ein Angreifer einen Pfad konstruieren, der auf externe Ressourcen verweist. Wird das Eintragsprotokoll von Grafana verarbeitet, verschafft es dem Angreifer Zugang zur Unternehmensumgebung. Anschließend nutzt er einen im externen Kontext versteckten indirekten Prompt, der den KI-Begleiter von Grafana anweist, seine Leitplanken zu ignorieren und ein externes Bild darzustellen – das System soll so gezwungen werden, eine externe URL anzuerkennen.
Beim Versuch, das Bild zu laden, sendet der KI-Begleiter eine Anfrage an den Server des Angreifers, wobei die Daten des Opfers als URL-Parameter mitübertragen werden. „Die Daten gehen in dem Moment verloren, in dem das System versucht, das Bild anzuzeigen“, erklärt Noma.
Nach den Erkenntnissen des Sicherheitsunternehmens bestand das Problem darin, dass ein Angreifer „den Pfad jedes Unternehmens fälschen kann, das Grafana einsetzt“, indem er die Datenstruktur und das Modell errät. Zudem ließe sich ein Speicherort nutzen, an dem Prompts im Datenspeicher der Anwendung abgelegt werden. Von dort aus könnte ein Angreifer Grafana missbrauchen, um Daten über Bild-Tags abzuziehen.
Grafana verfügt zwar über Schutzmaßnahmen, die das Laden von Bildern aus externen Domains verhindern, doch ein Fehler in einer Funktion zur Validierung von Bild-URLs ließ sich ausnutzen, um diesen Schutz zu umgehen. Auch das KI-Modell besitzt Leitplanken, die das Einschleusen von Prompts mit Bild-Markdown unterbinden sollen; Noma fand jedoch heraus, dass sich das Schlüsselwort „intent“ einsetzen lässt, um diesen Schutz zu umgehen und dem Modell zu signalisieren, die Anweisung sei legitim.
„Durch die Verkettung dieser Erkenntnisse erreichten wir eine automatische Datenexfiltration ohne jegliche Nutzerinteraktion. Der Datenabfluss läuft vollständig im Hintergrund ab. Für das Datenteam, DevSecOps oder den CISO sieht es aus wie ein gewöhnlicher Tag der Datenvisualisierung“, so Noma.
Bradley Smith, stellvertretender CISO bei BeyondTrust, ordnet ein, dass der Einsatz indirekter Prompt-Injections zum Datenabzug über gerenderte Inhalte ein bekannter Angriffsweg sei; wie gut sich eine gehärtete Grafana-Installation tatsächlich angreifen lasse, sei weniger klar. „Die praktische Ausnutzbarkeit hängt stark von den Einzelheiten der Bereitstellung ab: ob KI-Funktionen aktiviert sind, ob Egress-Kontrollen bestehen und wie die Umgebung mit der Aufnahme externer Daten umgeht. Das ist keine universelle Umgehung von Grafana, sondern eine Demonstration dessen, was passieren kann, wenn KI-Komponenten nicht vertrauenswürdige Eingaben ohne ausreichende architektonische Kontrollen verarbeiten“, sagte Smith.
Ram Varadarajan, CEO von Acalvio, sieht in GrafanaGhost einen Beleg dafür, dass die breite Einführung von KI die Verteidigung über die Anwendungsebene hinaus verschoben hat und nun URL-Sperren auf Netzwerkebene sowie eine Härtung der KI gegen Prompt-Injection erfordert. „Letztlich beweist dieser Exploit, dass Perimeter-Kontrollen nicht ausreichen. Der einzige Weg, KI-gestützte Werkzeuge abzusichern, besteht darin, von der Überwachung dessen, was einem Agenten gesagt wird, zu einer laufzeitbezogenen Verhaltensüberwachung dessen überzugehen, was er tatsächlich tut“, sagte Varadarajan.
