Key Takeaways
- Onderzoekers hebben een kwetsbaarheid ontdekt in ChatGPT waardoor gegevens kunnen worden gestolen van verbonden Google Drive-accounts.
- De aanval maakt gebruik van een “vergiftigd” document met verborgen aanwijzingen die ChatGPT activeert om gevoelige informatie uit te trekken zonder interactie van de gebruiker.
- Dit incident benadrukt de risico’s die gepaard gaan met het verbinden van artificiële intelligentiesystemen met persoonlijke of zakelijke gegevens en onderstreept de noodzaak om beschermende maatregelen te nemen tegen indirecte promptinjecties.
Tijdens de Black Hat-conferentie in Las Vegas onthulden beveiligingsonderzoekers een verontrustend lek in ChatGPT. Met behulp van een enkel “vergiftigd” document konden ze gevoelige gegevens extraheren uit een verbonden Google Drive-account zonder enige interactie van de gebruiker.
Kwaadaardige instructies
Deze daad maakt gebruik van de functie Connectors van ChatGPT en vertrouwt op een techniek die “nul-klik” wordt genoemd. De aanval, AgentFlayer genoemd door Zenity-onderzoekers Michael Bargury en Tamir Ishay Sharbat, houdt in dat een nietsvermoedende gebruiker een gedeeld document wordt toegestuurd dat een verborgen prompt bevat. Deze prompt, geschreven in witte tekst met een klein lettertype, is onzichtbaar voor het menselijk oog maar gemakkelijk te lezen door ChatGPT.
Wanneer de gebruiker een schijnbaar onschuldige vraag stelt, zoals een samenvatting van een vergadering, valt ChatGPT ten prooi aan kwaadaardige instructies die in de prompt verborgen zitten. In plaats van een samenvatting te geven, voert de AI instructies uit zoals het zoeken naar API-sleutels in de Drive en deze naar een externe server te sturen via een vermomde afbeeldingslink.
Gegevensdiefstal
Bargury haalt aan dat deze aanval volledig passief is. Gebruikers hoeven het document niet te openen of iets te doen. Alleen al het delen van het document met hun Google-account is voldoende om de gegevensdiefstal in gang te zetten.
OpenAI, de makers van ChatGPT, werden eerder dit jaar op deze kwetsbaarheid gewezen en hebben tegenmaatregelen genomen. Dit incident benadrukt echter de potentiële risico’s die gepaard gaan met het verbinden van artificiële intelligentiesystemen met persoonlijke of professionele gegevens.
Google erkent dat dit probleem niet specifiek is voor zijn Drive-platform, maar het haalt wel aan het belang van bescherming tegen “indirecte promptinjecties”. Naarmate AI-integraties met externe bronnen meer algemeen worden, neemt het risico dat hackers kwaadaardige instructies in gebruikersgegevens insluiten aanzienlijk toe. (fc)