Kybernetickí útočníci nachádzajú v umelej inteligencii stále mocnejšieho spojenca.
Najnovšie odhalený útok, nazvaný AgentFlayer, demonštruje, ako je možné zneužiť populárny chatbot ChatGPT na sofistikovanú krádež citlivých dát, akými sú napríklad API kľúče, priamo z cloudových úložísk ako Google Drive či Microsoft OneDrive. Hrozba je o to závažnejšia, že ide o takzvaný „zero-click“ útok – obeť nemusí kliknúť na žiadny škodlivý odkaz; stačí, že útočník s ňou zdieľa zdanlivo neškodný dokument.
Tento incident odhaľuje novú a znepokojivú kapitolu v oblasti kybernetickej bezpečnosti, kde sa samotné AI modely stávajú nielen cieľom, ale aj nástrojom útokov. Ako presne útok funguje? Útok AgentFlayer zneužíva zraniteľnosť v novej funkcii ChatGPT s názvom Connectors. Funkcia umožňuje prepojiť chatbota s externými aplikáciami, webmi a službami, vrátane cloudových úložísk, čo má používateľom zjednodušiť prácu s ich dátami.
Bezpečnostní výskumníci však ukázali, že tento komfort má svoju cenu. Proces útoku prebieha v niekoľkých krokoch. Vytvorenie „otráveného“ dokumentu: Útočník vytvorí bežný dokument, ktorý na prvý pohľad vyzerá úplne neškodne. Do tohto dokumentu vloží rozsiahly škodlivý príkaz (prompt), ktorý je však pre ľudské oko neviditeľný. V demonštrácii bol príkaz naformátovaný bielym písmom o veľkosti jedného bodu, vďaka čomu dokonale splynul s pozadím.
Kým človek ho nevidí, AI model ho bez problémov prečíta a spracuje. Útočník následne zdieľa tento dokument so svojou obeťou štandardnou cestou, napríklad cez Google Drive. V momente, keď obeť najbližšie interaguje s ChatGPT (a má zapnutú funkciu Connectors), chatbot automaticky preskenuje aj tento nový zdieľaný dokument. Narazí na skrytý príkaz a vykoná ho.
V rámci demonštrácie príkaz nariadil chatbotovi, aby prehľadal celý Google Drive obete, našiel všetky uložené API kľúče, pripojil ich k špeciálne vytvorenej URL adrese a odoslal ich na externý server pod kontrolou útočníka. Hoci bol útok demonštrovaný na platforme Google Drive, nejde o zraniteľnosť špecifickú pre služby od Google. Andy Wen, riaditeľ pre bezpečnosť v Google Workspace, potvrdil, že problém nespočíva v ich cloudovej platforme.
Google napriek tomu už pracuje na vylepšených ochranných mechanizmoch, ktoré by mali zabrániť AI službám vykonávať potenciálne škodlivé, skryté príkazy. Jadro problému spočíva v samotnej architektúre moderných AI asistentov. Tým, že sa im udeľujú rozsiahle a nekontrolované prístupy k súkromným dátam a súborom používateľov, vytvára sa nový a veľmi nebezpečný vektor útoku.
Výskumníci, ktorí útok odhalili, ho zodpovedne nahlásili OpenAI ešte začiatkom tohto roka. OpenAI odvtedy zaviedla opatrenia, ktoré by mali útoku AgentFlayer cez funkciu Connectors brániť. Napriek tomu tento incident slúži ako dôležité varovanie. Hoci bol konkrétny exploit navrhnutý tak, aby odoslal len obmedzené množstvo dát na jednu požiadavku, odhaľuje oveľa širší a fundamentálny problém.
Systémy umelej inteligencie s neobmedzeným prístupom k používateľským dátam predstavujú vážne bezpečnostné riziko, na ktoré tradičné kybernetické obrany nie sú pripravené. Éra, kedy sme sa báli len škodlivých súborov, sa končí. Dnes je potrebné dávať pozor aj na zdanlivo neškodné príkazy, ktoré môžu z inteligentných asistentov urobiť digitálnych zlodejov.
