ChatGPT alvo de ataque de roubo de dados do lado do servidor

Pesquisadores da empresa de segurança web Radware descobriram recentemente o que descreveram como um método de ataque de roubo de dados do lado do serviço envolvendo ChatGPT. 

O ataque, apelidado Vazamento de Sombra, teve como alvo a capacidade de Pesquisa Profunda do ChatGPT, que foi projetada para conduzir pesquisas em várias etapas para tarefas complexas. OpenAI neutralizou ShadowLeak após ser notificado pela Radware.
O ataque ShadowLeak não exigiu nenhuma interação do usuário. O invasor só precisava enviar um e-mail especialmente criado que, quando processado pelo agente da Deep Research, o instruiria a coletar silenciosamente dados valiosos e enviá-los de volta ao invasor.
No entanto, ao contrário de muitos outros ataques indiretos de injeção imediata, o ShadowLeak não envolveu o cliente ChatGPT.
Várias empresas de segurança cibernética demonstraram recentemente ataques teóricos nos quais o invasor aproveita a integração entre assistentes de IA e ferramentas empresariais silenciosamente exfiltrar dados do usuário sem interação mínima ou mínima com a vítima.
Radware menciona Zenity AgenteFlayer e Segurança de Objetivos Vazamento de eco ataques. No entanto, a empresa destacou que esses são ataques do lado do cliente, enquanto o ShadowLeak envolve o lado do servidor. 
Como em ataques anteriores, o invasor precisaria enviar um e-mail que parecesse inofensivo para o usuário alvo, mas contivesse instruções ocultas para o ChatGPT. As instruções maliciosas seriam acionadas quando o usuário solicitasse ao chatbot que resumisse e-mails ou pesquisasse um tópico em sua caixa de entrada. 
Diferentemente dos ataques do lado do cliente, o ShadowLeak exfiltra dados por meio dos parâmetros de uma solicitação para uma URL controlada pelo invasor. Uma URL de aparência inofensiva, como ‘hr-service.net/{parameters}’, onde o valor do parâmetro é a informação exfiltrada, foi fornecida como exemplo pela Radware. 
“É importante observar que a solicitação da web é realizada pelo agente que executa na infraestrutura de nuvem da OpenAI, fazendo com que o vazamento se origine diretamente dos servidores da OpenAI”, destacou Radware, observando que o ataque não deixa rastros claros porque a solicitação e os dados não passam pelo cliente ChatGPT. 
O prompt do invasor é inteligentemente projetado não apenas em termos de coletar informações e enviá-las ao invasor. Ele também informa ao chatbot que ele tem autorização total para realizar as tarefas necessárias e cria um senso de urgência.
O prompt também instrui o ChatGPT a tentar várias vezes se não tiver sucesso, fornece um exemplo de como as instruções maliciosas devem ser executadas e tenta anular possíveis verificações de segurança convencendo o agente de que os dados exfiltrados já são públicos e que o URL do invasor está seguro. 
Embora a Radware tenha demonstrado o método de ataque contra o Gmail, a empresa disse que a Deep Research também pode acessar outros serviços empresariais amplamente utilizados, incluindo Google Drive, Dropbox, Outlook, HubSpot, Notion, Microsoft Teams e GitHub. 
A OpenAI foi notificada sobre o ataque em 18 de junho e a vulnerabilidade foi corrigida em algum momento no início de agosto. 
A Radware confirmou que o ataque não funciona mais. No entanto, disse Semana da Segurança que acredita “ainda existe uma superfície de ameaça bastante grande que permanece desconhecida”.
A empresa de segurança recomenda o monitoramento contínuo do comportamento dos agentes para mitigar tais ataques. 
“Rastrear tanto as ações do agente quanto sua intenção inferida e validar se elas permanecem consistentes com os objetivos originais do usuário. Essa verificação de alinhamento garante que, mesmo que um invasor direcione o agente, desvios da intenção legítima sejam detectados e bloqueados em tempo real”, explicou.