Security-tutkijat ovat paljastaneet kriittisen puutteen Openain chatgPT: ssä osoittaen, kuinka yhtä myrkytettyä asiakirjaa voidaan käyttää arkaluontoisten tietojen varastamiseen käyttäjän kytkettyjen Google Drive-tai Microsoft OneDrive-tileiltä. Turvallisuusyrityksen Zenity nimitti hyökkäyksen, jonka nimi on”Agentflayer”, on nolla-napsautuksen hyväksikäyttö. Se käyttää piilotettuja haitallisia ohjeita asiakirjan sisällä. Kun käyttäjä pyytää ChatgPT: tä tiivistämään sen, AI: tä käsketään salaa löytämään ja puristamaan tietoja.
Tämä epäsuora nopea ruiskutushyökkäys muuttaa avaimen tuottavuusominaisuuden voimakkaaseen varkaustyökaluun. Se korostaa voimakkaiden AI-mallien linkittämisen vaaroja henkilökohtaisiin ja yritystietoihin, ja OpenAi on laajentunut kesäkuusta lähtien syventämään yrityksen jalanjälkeä.
Agentflayer-hyökkäys alkaa harhaanjohtavalla yksinkertaisella lähtökohdalla: A myrkytetty asiakirja . Hyökkääjä käsittää tiedoston, joka sisältää ihmisen silmästä piilotetut haitalliset ohjeet, käyttämällä pientä kirjasinkokoa tai valkoista tekstiä valkoisella pohjalla. Tämä asiakirja jaetaan sitten tavoitteen kanssa, joka saattaa lähettää sen rutiinitehtävään.
Kun chatgpt käsittelee tiedostoa, piilotetut ohjeet ovat etusijalla, kaappaamalla AI: n toimintavirta ilman mitään uutta käyttäjän vuorovaikutusta. Tiivistelmän sijasta AI: tä käsketään pesemään käyttäjän kytketty pilvitallennus arkaluontoisille tiedoille, kuten API-avaimille tai luottamuksellisille tiedostoille.
Piilotettu kehotus on AIS: n sosiaalisen tekniikan mestarikurssi. Se kertoo pakottavan tarinan”kehittäjäkilpailusta määräaikaan”, joka tarvitsee kiireellisesti API-avaimia, kertomusta, joka on suunniteltu ohittamaan LLM: n turvallisuussuuntaus ja suostuttelemaan sen arkaluontoisen tehtävän. Vaihe alkaa: Punonta. Tutkijat suunnittelivat fiksun menetelmän hiipimään tietoja Openain puolustuksista. Piilotettu kehotus kehottaa ChatgPT: tä tekemään merkintäkuvan hyökkääjän ohjaamasta URL-osoitteesta. Kun ChatgPT: n asiakaspuolen käyttöliittymä hakee kuvan sen tekemiseksi, varastetun datan sisältämä pyyntö lähetetään suoraan hyökkääjän palvelimelle varkauden täyttämisen.
Tämä merkinnän renderointitekniikka on ollut tunnettu suodatusvektori, jonka muut tutkijat ovat aiemmin korostaneet. Itse AI-malli ei lähetä tietoja; Sen sijaan se palauttaa haitallisen merkinnän käyttäjän selaimelle, joka sitten pyyntöä vastaanottajan palvelimelle.
Zenity-tiimi löysi tämän tekniikan ohittavan Openain”URL_SAFE”-suodattimen, lieventämisen, joka on suunniteltu estämään haitallisten linkkien aiheuttamista. Ohitus työskenteli, koska tutkijat käytti luotettua verkkotunnusta-Microsoftin Azure Blob-tallennus Tuottavuus
Haavoittuvuus paljastaa perustavanlaatuisen jännityksen AI: n vallan ja sen turvallisuuden välillä. Zenity CTO Michael Bargury korostettu Hyökkäyksen vakavuus langalliseen.”Olemme osoittaneet, että tämä on täysin nolla-napsautus; tarvitsemme vain sähköpostiosoitteesi, jaamme asiakirjan kanssasi, ja siinä se on. Joten kyllä, tämä on erittäin, erittäin huono.”Hän huomautti myös laajemmat vaikutukset teollisuuteen. “Se on uskomattoman tehokas, mutta kuten yleensä AI: n kanssa, enemmän virtaa liittyy enemmän riskiin.” Hyökkäys on täysin automatisoitu eikä vaadi napsautuksia uhrilta alkuperäisen tiedoston lähettämisen ulkopuolella. Bargury selitti:”Käyttäjän ei tarvitse tehdä mitään vaarantaakseen, eikä käyttäjän tarvitse tehdä mitään, jotta tiedot voivat mennä ulos.”Tämä tekee siitä erityisen salakavalaa, kun käyttäjä saa näennäisesti normaalin vastauksen, tietämättä rikkomusta. 6. elokuuta pidetyssä lehdistötiedotteessa Zenity varoitti, että Agentflayer-tekniikka edustaa laajalle levinnyttä uhkaa monille yrityksen AI-agenteille , ei vain chatgpt, mikä merkitsee, että tämä on uusi ja vaarallinen rintama taistelussa AI: n turvaamiseksi.
