Slack behebt potenzielle KI-Sicherheitsprobleme

Eskere Guru

Update : Slack hat ein Update veröffentlicht und behauptet, „einen Patch bereitgestellt zu haben, um das gemeldete Problem zu beheben“, und dass es derzeit keine Beweise dafür gibt, dass unbefugt auf Kundendaten zugegriffen wurde. Hier ist die offizielle Stellungnahme von Slack, die auf seinem Blog veröffentlicht wurde:

Als wir auf den Bericht aufmerksam wurden, leiteten wir eine Untersuchung des beschriebenen Szenarios ein, bei dem ein böswilliger Akteur mit einem bestehenden Konto im selben Slack-Workspace unter sehr begrenzten und spezifischen Umständen Benutzer nach bestimmten Daten stehlen könnte. Wir haben einen Patch bereitgestellt, um das Problem zu beheben, und haben derzeit keine Hinweise auf einen unbefugten Zugriff auf Kundendaten.

Nachfolgend finden Sie den Originalartikel, der veröffentlicht wurde.

Als ChatGTP zu Slack hinzugefügt wurde , sollte es den Benutzern das Leben erleichtern, indem es Konversationen zusammenfasst, schnelle Antworten verfasst und mehr. Laut der Sicherheitsfirma PromptArmor könnte der Versuch, diese und weitere Aufgaben auszuführen, jedoch dazu führen, dass Ihre privaten Gespräche mithilfe einer Methode namens „Prompt-Injection“ verletzt werden.

Das Sicherheitsunternehmen warnt davor, dass es durch das Zusammenfassen von Gesprächen auch auf private Direktnachrichten zugreifen und andere Slack-Benutzer zum Phishing verleiten kann. Mit Slack können Benutzer auch den Abruf von Daten aus privaten und öffentlichen Kanälen anfordern, selbst wenn der Benutzer ihnen nicht beigetreten ist. Was noch beängstigender klingt, ist, dass der Slack-Benutzer nicht im Kanal sein muss, damit der Angriff funktioniert.

Theoretisch beginnt der Angriff damit, dass ein Slack-Benutzer die Slack-KI dazu verleitet, einen privaten API-Schlüssel preiszugeben, indem er mit einer böswilligen Aufforderung einen öffentlichen Slack-Kanal erstellt. Die neu erstellte Eingabeaufforderung weist die KI an, das Wort „Konfetti“ mit dem API-Schlüssel auszutauschen und es an eine bestimmte URL zu senden, wenn jemand danach fragt.

Die Situation besteht aus zwei Teilen: Slack hat das KI-System aktualisiert, um Daten aus Datei-Uploads und Direktnachrichten zu extrahieren. Zweitens handelt es sich um eine Methode namens „Prompt-Injection“, von der PromptArmor bewiesen hat, dass sie bösartige Links erstellen kann, die möglicherweise Phishing-Anwender sind.

Die Technik kann die App dazu verleiten, ihre normalen Einschränkungen zu umgehen, indem ihre Kernanweisungen geändert werden. Daher führt PromptArmor weiter aus: „Prompt-Injection erfolgt, weil ein [großes Sprachmodell] nicht zwischen der von einem Entwickler erstellten „System-Eingabeaufforderung“ und dem Rest des Kontexts unterscheiden kann, der an die Abfrage angehängt wird. Wenn also Slack AI eine Anweisung über eine Nachricht aufnimmt und diese Anweisung böswillig ist, besteht eine hohe Wahrscheinlichkeit, dass Slack AI dieser Anweisung statt oder zusätzlich zur Benutzeranfrage folgt.“

Um das Ganze noch schlimmer zu machen, werden auch die Dateien des Benutzers zum Ziel, und der Angreifer, der Ihre Dateien haben möchte, muss sich nicht einmal im Slack Workspace befinden.