Istraživači iz kompanije za web bezbjednost Radware nedavno su otkrili metodu krađe podataka sa servera koja je uključivala ChatGPT.
Napad, nazvan ShadowLeak, ciljao je na ChatGPT funkcionalnost Deep Research, koja je dizajnirana za izvođenje višestepenih istraživanja kod složenih zadataka. OpenAI je neutralisao ShadowLeak nakon što ga je Radware obavijestio.
ShadowLeak napad nije zahtijevao nikakvu interakciju korisnika. Napadaču je bilo dovoljno da pošalje posebno kreiranu email poruku, koja bi, kada je procesuira Deep Research agent, instruisala sistem da tiho prikuplja vrijedne podatke i šalje ih nazad napadaču.
Međutim, za razliku od mnogih drugih indirektnih prompt injection napada, ShadowLeak nije uključivao ChatGPT klijent.
Nekoliko sajber bezbjednosnih kompanija nedavno je demonstriralo teorijske napade u kojima se iskorišćava integracija između AI asistenata i enterprise alata za tiho izvlačenje korisničkih podataka uz minimalnu ili nikakvu interakciju žrtve.
Radware pominje Zenityjev AgentFlayer i Aim Securityjev EchoLeak napade. Ipak, kompanija je naglasila da su to klijentski napadi, dok ShadowLeak pogađa serversku stranu.
Kao i u prethodnim napadima, napadač bi morao poslati email koji izgleda bezopasno za korisnika, ali sadrži skrivene instrukcije za ChatGPT. Maliciozne instrukcije bi se aktivirale kada bi korisnik tražio od chatbota da sažme emailove ili istraži neku temu iz svog inboxa.
Za razliku od klijentskih napada, ShadowLeak izvlači podatke kroz parametre zahtjeva ka URL-u pod kontrolom napadača. Kao primjer, Radware je naveo bezazleno izgledajući URL poput „hr-service.net/{parametri}“, gdje bi vrijednost parametra bila eksfiltrirani podatak.
„Važno je napomenuti da web zahtjev izvršava agent unutar OpenAI cloud infrastrukture, što znači da curenje potiče direktno sa OpenAI servera,“ naglasio je Radware, ističući da napad ne ostavlja jasne tragove jer zahtjev i podaci ne prolaze kroz ChatGPT klijent.
Napadačev prompt je vješto dizajniran – ne samo da prikuplja informacije i šalje ih napadaču, već i ubjeđuje chatbot da ima punu autorizaciju za zadatak i stvara osjećaj hitnosti.
Prompt takođe instruira ChatGPT da pokuša više puta ako prvi pokušaj ne uspije, daje primjer kako se maliciozne instrukcije trebaju izvršiti, i pokušava zaobići moguće bezbjednosne provjere ubjeđujući agenta da su podaci već javni i da je napadačev URL bezbjedan.
Iako je Radware demonstrirao napad na Gmail, kompanija je navela da Deep Research može pristupiti i drugim široko korišćenim enterprise servisima, uključujući Google Drive, Dropbox, Outlook, HubSpot, Notion, Microsoft Teams i GitHub.
OpenAI je o napadu obaviješten 18. juna, a ranjivost je otklonjena početkom avgusta.
Radware je potvrdio da napad više ne funkcioniše. Ipak, kompanija je za SecurityWeek izjavila da vjeruje „da još uvijek postoji prilično velika površina prijetnji koja nije otkrivena“.
Firma preporučuje kontinuirani nadzor ponašanja agenata radi ublažavanja ovakvih napada.
„Praćenje i akcija agenta i njegovih namjera, te validacija da ostaju usklađeni sa originalnim ciljevima korisnika. Ova provjera usklađenosti osigurava da se čak i ako napadač preusmjeri agenta, odstupanja od legitimne namjere otkrivaju i blokiraju u realnom vremenu“, objašnjava Radware.
Izvor: SecurityWeek
