Beveiligingsonderzoekers van Radware hebben aangetoond hoe ze Openai’s chatgpt hebben misleid om gevoelige gegevens uit de Gmail -inbox van een gebruiker te extraheren met behulp van een kwetsbaarheid die ze “Shadow Lek” noemen. De aanval, die deze week werd onthuld, gebruikte een techniek genaamd snelle injectie om een AI -agent te manipuleren met de naam Deep Research die toegang had gekregen tot de e -mails van de gebruiker. De hele aanval vond plaats op de cloudinfrastructuur van Openai en omzeilde traditionele cybersecurity -verdedigingen. OpenAI heeft de kwetsbaarheid gepatcht nadat Radware het in juni meldde.
Hoe de schaduwlekaanval werkt
Het experiment was gericht op AI -agenten, die zijn ontworpen om taken autonoom uit te voeren namens een gebruiker, zoals toegang tot persoonlijke accounts zoals e -mail. In dit geval kreeg de diepe onderzoeksagent, die is ingebed in Chatgpt, toestemming gekregen om te communiceren met het Gmail -account van een gebruiker. De onderzoekers hebben een e -mail gemaakt met kwaadaardige instructies die verborgen zijn als onzichtbare witte tekst op een witte achtergrond. Deze e -mail werd vervolgens verzonden naar de Gmail -inbox van het doelwit. De verborgen opdrachten bleven sluimerend totdat de gebruiker de diepe onderzoeksagent activeerde voor een routinematige taak. Toen de agent de inbox scande, kwam hij de snelle injectie tegen en volgde de instructies van de aanvaller in plaats van die van de gebruiker. De agent ging vervolgens over tot het zoeken naar de inbox naar gevoelige informatie, zoals HR-gerelateerde e-mails en persoonlijke gegevens, en stuurde die gegevens naar de onderzoekers zonder de kennis van de gebruiker. De onderzoekers beschreven het proces van het ontwikkelen van de aanval als “een achtbaan van mislukte pogingen, frustrerende wegversperringen en ten slotte een doorbraak.”
Een cloudgebaseerde aanval die traditionele beveiliging omzeilt
Een belangrijk aspect van de schaduwlekaanval is dat deze volledig werkt op de cloudinfrastructuur van Openai, niet op het lokale apparaat van de gebruiker. Dit maakt het niet detecteerbaar door conventionele cybersecurity -tools zoals antivirussoftware, die de computer of telefoon van een gebruiker bewaken op kwaadaardige activiteit. Door gebruik te maken van de eigen infrastructuur van de AI, kan de aanval doorgaan zonder een spoor achter te laten aan het einde van de gebruiker.
Potentieel voor een breder scala aan aanvallen
Het proof-of-concept van Radware identificeerde ook potentiële risico’s voor andere services die integreren met de Deep Research Agent. De onderzoekers verklaarden dat dezelfde snelle injectietechniek kon worden gebruikt om verbindingen te richten op Outlook, GitHub, Google Drive en Dropbox.
“Dezelfde techniek kan worden toegepast op deze aanvullende connectoren om zeer gevoelige bedrijfsgegevens zoals contracten, het ontmoeten van notities of klantgegevens te exfiltreren.”
Snelle injectie is een bekende kwetsbaarheid die is gebruikt bij verschillende real-world aanvallen, van het manipuleren van academische peer reviews tot het nemen van controle over smart home-apparaten. Openai heeft sindsdien de specifieke fout gepatcht die de schaduwlekaanval mogelijk heeft gemaakt, maar het onderzoek benadrukt de voortdurende beveiligingsuitdagingen van de toenemende autonomie van AI -agenten.
