Nová integrácia kalendára ChatGPT môže byť zneužitá na vykonanie príkazov útočníka a výskumníci zo spoločnosti zaoberajúcej sa bezpečnosťou AI EdisonWatch ukázali potenciálny dopad tým, že demonštrovali, ako sa táto metóda dá využiť na krádež používateľových e-mailov.
Zakladateľ EdisonWatch, Eito Miyamura, cez víkend odhalil, že jeho spoločnosť analyzovala novo pridanú podporu nástroja Model Context Protocol (MCP) v ChatGPT, ktorá umožňuje generatívnej AI službe interagovať s používateľovým e-mailom, kalendárom, platbami, firemnou spoluprácou a inými službami tretích strán.
Miyamura v ukážke predviedol, ako by útočník mohol exfiltrovať citlivé informácie z používateľovho e-mailového účtu iba na základe znalosti cieľovej e-mailovej adresy.
Útok začína špeciálne pripravenou pozvánkou do kalendára, ktorú útočník pošle cieľu. Pozvánka obsahuje to, čo Miyamura opísal ako „jailbreak prompt“, ktorý inštruuje ChatGPT, aby vyhľadalo citlivé informácie v schránke obete a poslalo ich na e-mailovú adresu zadanú útočníkom.
Obeť nemusí prijať útočníkovu pozvánku do kalendára, aby sa spustili škodlivé príkazy ChatGPT. Namiesto toho sa útočníkov prompt aktivuje vo chvíli, keď obeť požiada ChatGPT, aby skontrolovalo jej kalendár a pomohlo pripraviť sa na deň.
Takéto typy AI útokov nie sú nezvyčajné a nie sú špecifické iba pre ChatGPT. Spoločnosť SafeBreach minulý mesiac demonštrovala podobný útok cez pozvánky do kalendára, ktorý cielil na Gemini a Google Workspace. Výskumníci bezpečnostnej firmy ukázali, ako by útočník mohol uskutočňovať spamovanie a phishing, mazať udalosti v kalendári, zistiť polohu obete, na diaľku ovládať domáce spotrebiče a exfiltrovať e-maily.
Zenity taktiež minulý mesiac ukázala, ako môže byť integrácia medzi AI asistentmi a firemnými nástrojmi zneužitá na rôzne účely. Startup v oblasti bezpečnosti AI zdieľal príklady útokov, ktoré cielili na ChatGPT, Copilot, Cursor, Gemini a Salesforce Einstein.
Demonštrácia EdisonWatch je prvá, ktorá cielila na novo vydanú integráciu kalendára ChatGPT. Výskum je pozoruhodný tým, ako agent získava a vykonáva obsah z kalendára prostredníctvom volaní nástrojov, čo môže znásobiť dopad naprieč prepojenými systémami. Avšak „nie je to unikátne pre OpenAI,“ vysvetlil Miyamura.
Keďže ide o známu triedu zraniteľností spojenú s integráciou LLM a nie je špecifická iba pre ChatGPT, zistenia neboli nahlásené OpenAI. AI spoločnosti si sú zvyčajne vedomé, že takéto útoky sú možné.
V prípade útoku na ChatGPT demonštrovaného EdisonWatch je zneužívaná funkcia momentálne dostupná iba v režime pre vývojárov a používateľ musí manuálne schváliť akcie AI chatbota. Na druhej strane, Miyamura upozornil, že aj keď útok vyžaduje interakciu obete, stále môže byť pre hrozbových aktérov užitočný.
„Rozhodovacia únava je skutočná vec a bežní ľudia jednoducho budú dôverovať AI bez toho, aby vedeli, čo robiť, a budú len klikať schváliť, schváliť, schváliť,“ povedal Miyamura.
EdisonWatch, založený tímom absolventov informatiky z Oxfordu, sa zameriava na monitorovanie a presadzovanie politiky-ako-kód pre interakcie AI s firemným softvérom a systémami záznamov v snahe pomôcť organizáciám bezpečne a spoľahlivo škálovať AI pilotné projekty.
Bezpečnostná firma vydala verziu 1 open-source riešenia navrhnutého na zmiernenie najbežnejších typov AI útokov, ktoré pomáha zabezpečiť integrácie a znížiť riziko exfiltrácie dát.
Viac informácií nájdete tu:
https://www.securityweek.com/chatgpts-new-calendar-integration-can-be-abused-to-steal-emails/