安全研究人員在Openai的Chatgpt中暴露了一個嚴重的缺陷,展示瞭如何使用單個“中毒”文檔從用戶連接的Google Drive或Microsoft OneDrive帳戶中竊取敏感數據。這次襲擊被安全公司Zenity稱為“代理商”,是零單擊的漏洞。
該技術在7月8日在Black Hat Hacker會議上揭示了研究人員Michael Bargury和Tamir Ishay Sharbat。它在文檔中使用隱藏的惡意說明。當用戶要求Chatgpt總結一下時,AI被秘密地命令查找和剝離數據。
此間接提示注射攻擊將關鍵的生產力功能變成有效的盜竊工具。它突出了將強大的AI模型與個人和企業數據聯繫起來的危險,自6月以來,OpenAI一直在擴展其企業足跡。
“中毒文件”攻擊矢量
ChatGpt處理文件時,隱藏的說明優先考慮,劫持了AI的操作流程,而無需進行任何進一步的用戶交互。 AI沒有概括,而是命令搜索用戶連接的雲存儲以獲取敏感信息(例如API密鑰或機密文件)。
隱藏的提示是AIS社交工程的大師班。 It tells a compelling story of a “developer racing against a deadline”who urgently needs API keys, a narrative designed to bypass the LLM’s safety alignment and persuade it to perform a sensitive task.
[embedded content]
Bypassing Defenses: Data Exfiltration via Markdown Abuse
Once the AI locates the target data, the exploit’s第二階段開始:滲透。研究人員設計了一種巧妙的方法,可以將數據偷走,超越了Openai的防禦能力。隱藏的提示指示Chatgpt從攻擊者控制的URL中渲染降價圖像。
至關重要的是,被盜數據被嵌入此圖像URL中的參數。當Chatgpt的客戶端接口獲取圖像以渲染圖像時,包含被盜數據的請求將直接發送到攻擊者的服務器,完成盜竊案。
此Markdown渲染技術已知是已知的剝落矢量,以前是其他研究人員以前強調的。 AI模型本身不會發送數據;取而代之的是,它將惡意的刻痕返回給用戶的瀏覽器,然後向攻擊者的服務器提出請求。
Zenity的團隊發現此技術繞過OpenAI的“ url_safe”過濾器,該過濾器旨在防止從惡意鏈接中渲染。旁路的工作是因為研究人員使用了一個值得信賴的域- Microsoft的azure blob存儲 the圖像,允許prant the fort the the the圖像,訪問了一個prant a prant the the the the。生產力
脆弱性暴露了AI的權力與其安全性之間的基本張力。 Zenity CTO Michael Bargury 強調 攻擊的嚴重性是有線的。 “我們已經證明這完全是零單擊;我們只需要您的電子郵件,我們與您共享文檔,僅此而已。是的,這非常非常非常糟糕。 “他還指出了對該行業的廣泛影響。 “它的功能非常強大,但是像往常一樣,有更多的功率會帶來更多的風險。 ”
這次攻擊是完全自動化的,並且除了初始文件上傳之外,受害者無需單擊。 Bargury解釋說:“用戶無需妥協,並且用戶無需執行任何數據即可脫穎而出。 “這使它變得特別陰險,因為用戶收到看似正常的響應,因此沒有意識到違規。
在8月6日的新聞稿中,Zenity警告說,Agentflayer Technique 代表了許多企業AI代理的廣泛威脅,不僅僅是chatgpt,還表明這是確保AI的戰鬥中的新危險陣線。
