Sicherheitsforscher von Radware haben gezeigt, wie sie OpenAIs Chatgpt dazu gebracht haben, sensible Daten aus dem Google Mail -Posteingang eines Benutzers mithilfe einer Sicherheitsanfälligkeit zu extrahieren, die sie als „Schattenleck“ bezeichnen. Der Angriff, der diese Woche enthüllt wurde, verwendete eine Technik namens prompt Injektion, um einen AI -Agenten namens Deep Research zu manipulieren, der Zugriff auf die E -Mails des Benutzers gewährt hatte. Der gesamte Angriff fand auf OpenAs Cloud -Infrastruktur statt, wobei die traditionellen Cybersicherheitsverteidigungen umging. OpenAI hat die Verwundbarkeit gepatcht, nachdem Radware sie im Juni gemeldet hatte.
Wie der Schatten -Leck -Angriff funktioniert
Das Experiment zielte auf KI -Agenten ab, die auf Aufgaben im Namen eines Benutzers autonom ausgeführt wurden, z. B. auf persönliche Konten wie E -Mails. In diesem Fall erhielt dem Deep Research Agent, der in ChatGPT eingebettet ist, die Erlaubnis, mit dem Google Mail -Konto eines Benutzers zu interagieren. Die Forscher haben eine E -Mail mit böswilligen Anweisungen hergestellt, die als unsichtbarer weißer Text auf weißem Hintergrund versteckt waren. Diese E -Mail wurde dann an den Google Mail -Posteingang des Ziels gesendet. Die versteckten Befehle blieben ruhend, bis der Benutzer den Deep Research Agent für eine Routineaufgabe aktivierte. Als der Agent den Posteingang suchte, stieß er auf die schnelle Injektion und befolgte den Anweisungen des Angreifers anstelle der Benutzer. Der Agent suchte dann den Posteingang nach sensiblen Informationen wie HR-bezogenen E-Mails und persönlichen Daten und sandte diese Daten ohne Wissen des Benutzers an die Forscher. Die Forscher beschrieben den Prozess der Entwicklung des Angriffs als „Achterbahnfahrt mit gescheiterten Versuchen, frustrierenden Straßensperren und schließlich als Durchbruch“.
Ein Cloud-basierter Angriff, der die traditionelle Sicherheit umgeht
Ein wesentlicher Aspekt des Shadow Leak -Angriffs ist, dass er vollständig in der Cloud -Infrastruktur von OpenAI und nicht auf dem lokalen Gerät des Benutzers arbeitet. Dies macht es durch herkömmliche Cybersecurity -Tools wie Antivirus -Software, die den Computer oder Telefon eines Benutzers auf böswillige Aktivitäten überwachen, nicht nachweisbar. Durch die Nutzung der eigenen Infrastruktur der KI kann der Angriff fortgesetzt werden, ohne eine Spur am Ende des Benutzers zu hinterlassen.
Potenzial für eine breitere Palette von Angriffen
Der Proof-of-Concept von Radware identifizierte auch potenzielle Risiken für andere Dienste, die sich in den Deep Research Agent integrieren. Die Forscher gaben an, dass die gleiche schnelle Injektionstechnik verwendet werden könnte, um Verbindungen zu Outlook, Github, Google Drive und Dropbox zu zielen.
„Die gleiche Technik kann an diese zusätzlichen Anschlüsse angewendet werden, um hochsensible Geschäftsdaten wie Verträge, Meeting -Notizen oder Kundenakten zu peeltrieren.“
Die schnelle Injektion ist eine bekannte Verwundbarkeit, die bei verschiedenen realen Angriffen verwendet wurde, von der Manipulation der akademischen Peer-Bewertungen bis zur Kontrolle der Smart-Home-Geräte. OpenAI hat seitdem den spezifischen Fehler gepatcht, der den Schatten -Leck -Angriff ermöglicht hat, aber die Forschung beleuchtet die anhaltenden Sicherheitsherausforderungen, die durch die zunehmende Autonomie von AI -Agenten stammen.
