Sicherheitsforscher haben einen kritischen Fehler in OpenAIs ChatGPT enthüllt, der zeigt, wie ein einzelnes”vergiftetes”Dokument verwendet werden kann, um sensible Daten von den angeschlossenen Google Drive-oder Microsoft-OneDrive-Konten eines Benutzers zu stehlen. Der Angriff, der von der Sicherheitsfirma Zenity als”Agentflayer”bezeichnet wird, ist ein Null-Klick-Exploit. In einem Dokument werden versteckte böswillige Anweisungen verwendet. Wenn ein Benutzer Chatgpt auffordert, es zusammenzufassen, wird die KI heimlich befohlen, Daten zu finden und zu peeltrieren. Es unterstreicht die Gefahren, leistungsstarke KI-Modelle mit persönlichen und unternehmungslustigen Daten zu verbinden. Eine Fähigkeit, die Openai seit Juni erweitert, um seinen Unternehmens-Fußabdruck zu vertiefen. Dokument ’Attack Vector
Der AgentFlayer-Angriff beginnt mit einer täuschend einfachen Prämisse: ein gifisoniertes Dokument . Ein Angreifer fertigt eine Datei mit böswilligen Anweisungen, die aus dem menschlichen Auge versteckt sind, indem sie eine winzige Schriftgröße oder einen weißen Text auf weißem Hintergrund verwenden. Dieses Dokument wird dann mit einem Ziel geteilt, das es für eine Routineaufgabe hochladen könnte.
Im Moment, in dem Chatgpt die Datei verarbeitet, haben die verborgenen Anweisungen Vorrang und entführen den Betriebsfluss der KI ohne weitere Benutzerinteraktion. Anstatt zusammenzufassen, wird die KI befohlen, den angeschlossenen Cloud-Speicher des Benutzers für vertrauliche Informationen wie API-Schlüssel oder vertrauliche Dateien zu durchsuchen. Es erzählt eine überzeugende Geschichte eines „Entwicklers gegen eine Frist“, die dringend API-Schlüssel benötigt, eine Erzählung, die die Sicherheitsausrichtung des LLM umgeht und sie überzeugt, eine empfindliche Aufgabe auszuführen. Die zweite Stufe beginnt: Exfiltration. Die Forscher haben eine clevere Methode entwickelt, um die Daten nach OpenAIs Verteidigungen auszuschleichen. Die versteckte Eingabeaufforderung weist Chatgpt an, ein Markdown-Bild von einer von Angreifer kontrollierten URL zu rendern. Wenn die clientseitige Schnittstelle von ChatGPT das Bild zum Rendern abruft, wird eine Anforderung, die die gestohlenen Daten enthält, direkt an den Server des Angreifers gesendet. Der Diebstahl vervollständigt. Das KI-Modell selbst sendet die Daten nicht. Stattdessen wird der böswillige Markdown in den Browser des Benutzers zurückgegeben, wodurch die Anfrage an den Server des Angreifers führt.
Zenity-Team fand diese Technik, die OpenAIs”url_safe”-Filter umgeht, eine Schadensbegrenzung, die zur Verhinderung des Renders von böswilligen Verknüpfungen vorhanden ist. Der Bypass hat funktioniert, weil die Forscher verwendeten eine vertrauenswürdige Domäne-Microsoft Azure Blob Storage -to Host the bound. Produktivität
Die Verwundbarkeit enthüllt eine grundlegende Spannung zwischen der Macht der AI und ihrer Sicherheit. Zenity CTO Michael Bargury Beanspruchte Die Schwere des Angriffs für Wired.”Wir haben gezeigt, dass dies völlig null Klick ist. Wir brauchen nur Ihre E-Mail, wir teilen das Dokument mit Ihnen, und das ist es. Also ja, das ist sehr, sehr schlimm.”Er bemerkte auch die breiteren Auswirkungen auf die Branche.”Es ist unglaublich mächtig, aber wie bei KI ist mehr Leistung mit mehr Risiken einhergeht.”Bargury erklärte:”Es gibt nichts, was der Benutzer tun muss, um kompromittiert zu werden, und es gibt nichts, was der Benutzer tun muss, damit die Daten ausgehen müssen.”Dies macht es besonders heimtückisch, da ein Benutzer eine scheinbar normale Reaktion erhält. Es ist kein Verstoß aufgetreten. href=”https://www.prnewswire.com/news-releases/zenity-labs-expose-widesspread-agentflayer-vulnerabilities-Alowing-Silent-Hijacking-of-Major-ENTERPRISE-AIGENTS-CIRCUMVENTING-HIJACKING-OBERIGHT-302580.HTMVENTING-HUMAN-OSVERIGHT-30280. target=”_ leer”> stellt eine weit verbreitete Bedrohung für viele Enterprise-AI-Agenten dar , nicht nur Chatgpt, was signalisiert, dass dies eine neue und gefährliche Front im Kampf ist, um AI zu sichern.
