Искусственный интеллект и чат-боты, такие как ChatGPT, упрощают жизнь не только обычным пользователям, но и киберпреступникам. Недавно обнаруженная атака под названием AgentFlayer демонстрирует, как злоумышленники могут использовать возможности ИИ для кражи конфиденциальной информации, включая API-ключи, с популярных облачных платформ.
AgentFlayer — это атака с использованием техники "инъекции промптов", которая позволяет превратить ChatGPT в инструмент для кражи данных. Суть атаки заключается в использовании документа, содержащего скрытые инструкции, которые незаметны для человека, но распознаются и выполняются чат-ботом. Злоумышленнику достаточно поделиться таким документом через Google Drive, чтобы запустить атаку — жертве даже не нужно открывать файл или кликать по ссылкам.
Эта атака относится к категории "нулевого клика" (zero-click), что делает её особенно опасной. Она эксплуатирует уязвимость в новой функции ChatGPT под названием Connectors, которая позволяет интегрировать чат-бот с внешними приложениями и сервисами, такими как Google Drive и Microsoft OneDrive.
Как работает AgentFlayer
Исследователи, обнаружившие AgentFlayer, продемонстрировали, как документ с вредоносным промптом может быть использован для кражи данных. Вредоносные инструкции, спрятанные в тексте размером в один пиксель и белым шрифтом, невидимы для пользователя, но полностью считываются чат-ботом. Промпт, состоящий из 300 слов, заставляет ChatGPT искать API-ключи на Google Drive жертвы, добавлять их в специально сформированный URL и отправлять на сервер злоумышленника.
Атака начинается сразу после того, как жертва получает доступ к "заражённому" документу, при условии, что функция Connectors включена. Как только пользователь взаимодействует с ChatGPT, злоумышленник получает доступ к конфиденциальным данным.
Что с этим делать?
По словам Энди Вена, старшего директора по безопасности Google Workspace, AgentFlayer не является уязвимостью, специфичной только для Google. Тем не менее, компания уже работает над усилением защиты своих ИИ-сервисов, чтобы предотвратить выполнение скрытых вредоносных инструкций.
Исследователи сообщили об уязвимости OpenAI в начале этого года. Компания оперативно внедрила меры, блокирующие использование AgentFlayer через функцию Connectors. Однако исследователи подчёркивают, что атака выявляет более широкую проблему: ИИ-системы с неограниченным доступом к данным пользователей и облачным файлам представляют серьёзный риск для безопасности.
AgentFlayer подчёркивает важность строгого контроля за доступом ИИ к пользовательским данным. Даже если текущая уязвимость устранена, потенциал подобных атак остаётся высоким. Пользователям рекомендуется внимательно следить за настройками интеграций, таких как Connectors, и ограничивать доступ чат-ботов к конфиденциальной информации.
