ChatGPT korišćen za krađu podataka na mejlu

Рањивост која је искоришћена у међувремену је затворена од стране копманије OpenAI, али представља добар пример нових ризика који долазе са агентичким вјештачким интелигенцијама.

Ова крађа, названа "Shadow Leak" и објављена ове недјеље од стране безбједносне фирме Radware, ослањала се на специфичност начина на који АИ агенти функционишу.

АИ агенти су асистенти који могу да дјелују у ваше име без сталног надзора, што значи да могу да претражују интернет и кликћу на линкове. АИ компаније их хвале као велику уштеду времена након што им корисници одобре приступ личним мејловима, календарима, радним документима и слично.

Radware истраживачи су искористили ово кроз напад познат као "убризгавање упита" (prompt injection), односно инструкција које ефективно натерају агента да ради за нападача.

Савјети

Уз једноставне трикове одјећа ће вам мирисати дуго након прања

Двоструки агент у овом случају био је "OpenAI Deep Research", АИ алат уграђен у ChatGPT који је покренут раније ове године. Radware истраживачи су подметнули prompt injection у мејл послат на gmail налог којем је агент имао приступ.

Када би корисник сљедећи пут покушао да користи Deep Research, несвјесно би активирао замку. Агент би наишао на скривене инструкције, које би га навеле да претражи HР мејлове и личне податке и да их затим прокријумчари до хакера.

Извући податке непримjећено није лак задатак и захтјева много покушаја и грешака, али за разлику од већине промпт ињецтион напада, Shadow Leak се извршавао на OpenAI клауд инфраструктури и директно одатле износио податке. То га чини невидљивим за стандардне сајбер одбране, навели су истраживачи.

Radware је истакао да је студија била доказ концепта и упозорио да би и друге апликације повезане са Deep Researchom, укључујући Outlook, GitHub, Google Drive и Dropbox, могле бити рањиве на сличне нападе.

OpenAI је у међувремену затворио рањивост на коју је Radware указао још у јуну, рекли су истраживачи.

(б92)