ChatGPT ir Shadow Leak ataka
Neseniai Redware tyrėjai atskleidė naują kibernetinę ataką, pavadintą Shadow Leak, kurioje ChatGPT, nesąmoningai, tapo duomenų vagystės bendrininku. Per slapta integruotas instrukcijas elektroniniuose laiškuose ir naudojant dirbtinio intelekto agento komandas, buvo renkama asmeninė informacija iš Gmail paskyrų. Ši ataka iliustruoja realius pavojus, kurie kyla naudojant automatinius agentus.
Kaip veikė ataka
Ataka buvo sudėtingai sukonstruota. Laiške buvo paslėptas tekstas su instrukcijomis, kurias naudotojas atidarė, paleisdamas įrankį Deep Research. Agentas perskaitydavo šias slapčiausias komandas ir ieškodavo laiškų iš personalo departamento, perduodamas surinktus duomenis nusikaltėliams. Nors tyrėjai ilgai dirbo, kad sukurtų šią ataką, masinio duomenų vagysčių kol kas neužfiksuota. Tačiau ši spraga buvo giliai pasislėpusi debesų logikoje ir sunkiai pastebima standartinėmis apsaugos priemonėmis.
Pavojus kitoms paslaugoms
Ši ataka neapsiriboja vien Gmail paslaugomis. Kitos platformos, turinčios prieigą prie automatinių agentų, taip pat gali būti paveiktos. Tarp jų yra Outlook, Google Drive, GitHub ir Dropbox. Šie atvejai parodo, kad būtina atidžiai vertinti saugumo priemones ir nuolat jas tobulinti, kad būtų užkirstas kelias panašioms grėsmėms ateityje.
OpenAI reakcija ir sprendimai
OpenAI greitai reagavo į atskleistą pažeidžiamumą ir jį uždarė. Tačiau šis atvejis kelia klausimą apie naujų technologijų ir dirbtinio intelekto sistemų saugumą. Būtina toliau investuoti į saugumo tyrimus bei stiprinti apsaugos priemones, kad tokios atakos netaptų įprasta grėsme.
