Jeden plik wystarczy, aby wyciekła zawartość Dysku Google. Wszystko za sprawą ChatuGPT i jego luki
Badacze odkryli sposób na przeprowadzenie wycieku danych z wybranego Dysku Google. Do takiej operacji wystarczy odpowiednio spreparowany plik, który się na nim znajdzie, resztę zaś zrobi luka w funkcji Connectors ChatuGPT od OpenAI.
O problematycznej luce możemy przeczytać w serwisie Wired. Za odkrycie dziur w funkcji Connectors ChatuGPT odpowiadają badacze ds. bezpieczeństwa: Michael Bargury oraz Tamir Ishay Sharbat. Swoim znaleziskiem podzielili się podczas konferencji hakerów Black Hat w Las Vegas, w trakcie której przeprowadzili nawet demonstrację przykładowego ataku, nazwanego AgentFlayer. Bargury pokazał słuchaczom, jak we względnie prosty sposób udało mu się dobrać do plików składowanych na koncie Google Drive powstałym specjalnie z myślą o rzeczonym eksperymencie.
Jeden plik wystarczy, aby wyciekła zawartość Dysku Google
Przeprowadzenie ataku było możliwe za sprawą powiązań pomiędzy ChatemGPT a zewnętrznymi usługami, takimi jak Dysk Google. Bargury i Sharbat z powodzeniem udowodnili, że łączenie wykorzystywanych przez nas usług z modelami sztucznej inteligencji niesie ze sobą znaczne ryzyko dla naszego bezpieczeństwa. Wynika to w znacznej mierze z faktu, że w wyniku takiego podejścia rośnie liczba luk, które są w stanie wykorzystać hakerzy.
Dla przykładu, w opisywanym zajściu nie zawiniło ani Google, ani jego usługa dysku w chmurze, a winę w całości ponosi wadliwy kod oprogramowania dostarczonego przez OpenAI. Co więcej, cały proces kradzieży danych może zostać przeprowadzony bez większego udziału użytkownika. Jak powiedział w rozmowie z Wired pełniący stanowisko dyrektora ds. technologii w firmie Zenity Michael Bargury:
Użytkownik nie musi nic robić, aby narazić się na niebezpieczeństwo, ani nic robić, aby dane zostały ujawnione. Pokazaliśmy, że jest to całkowicie bezklikowe; potrzebujemy tylko Twojego adresu e-mail, udostępniamy Ci dokument i to wszystko. Tak, to jest bardzo, bardzo złe.
Michael poinformował przy tym, że zgłosił swoje odkrycie do OpenAI wcześniej w tym roku, a przedsiębiorstwo szybko podjęło kroki, aby przeciwdziałać dalszej eksploatacji luki. Mimo wszystko atak z użyciem spreparowanego dokumentu wciąż jest możliwy. Po prostu nie pozwala on już na wyciek całych plików, a jedynie ich fragmentów.
Dalsza część artykułu pod materiałem wideo
AgentFlayer: ChatGPT Connectors 0click Exfiltration Attack
A jak wygląda taki dokument? Tu robi się ciekawie, ponieważ zawiera on zapisany białą czcionką o niewielkim rozmiarze komplet instrukcji dla sztucznej inteligencji. Na potrzeby prezentacji posłużono się liczącym ok. 300 słów monitem wklejonym do tekstu poświęconego fikcyjnemu spotkaniu z Samem Atlmanem, czyli prezesem OpenAI. ChatGPT, poproszony o podsumowanie rzeczonego spotkania, zagląda do dokumentu i dowiaduje się z niego, że doszło do pomyłki i wcale nie musi streszczać zapisu pogadanki. Zamiast tego AI otrzymuje nowe instrukcje – przeczesanie dysku w poszukiwaniu kluczy API i załączenie ich na końcu adresu URL podanego w monicie. Ów adres jest tak naprawdę poleceniem napisanym w języku Markdown, które służy do połączenia się z zewnętrznym serwerem i zassania z niego obrazu.
Podsumowując – powinniśmy uważać, jakim narzędziom udzielamy dostępu do naszych usług, jako że może mieć to opłakane w skutkach konsekwencje.
