- Radware ha rilevato una vulnerabilità in ChatGPT Deep Research che potrebbe sottrarre dati dall'account Gmail.
- L'attacco ha utilizzato l'iniezione indiretta di prompt con istruzioni HTML nascoste e ha operato dall'infrastruttura di OpenAI.
- OpenAI ha già mitigato la falla; non ci sono prove pubbliche di un suo effettivo sfruttamento.
- Si consiglia di rivedere e revocare le autorizzazioni su Google e di limitare l'accesso degli agenti di intelligenza artificiale a e-mail e documenti.
Una ricerca recente ha scoperto una falla di sicurezza nell'agente Deep Research di ChatGPT che, in determinate condizioni, potrebbe facilitare l'output di informazioni dalle email ospitate in GmailLa scoperta evidenzia i rischi legati alla connessione degli assistenti AI alle caselle di posta e ad altri servizi contenenti dati sensibili.
L'azienda di sicurezza informatica Radware ha segnalato il problema a OpenAI e il fornitore lo ha risolto a fine estate, prima che diventasse di dominio pubblico.Sebbene lo scenario di sfruttamento fosse limitato e non ci sono prove di abusi nel mondo reale, la tecnica utilizzata lascia una lezione importante per gli utenti e le aziende.
Che fine hanno fatto i dati di ChatGPT e Gmail?
Deep Research è un agente ChatGPT orientato alle indagini multi-step che può, se l'utente lo autorizza, consultare fonti private come Gmail per generare report. L'errore ha aperto la porta a un aggressore per preparare un messaggio specifico e il sistema, durante l'analisi della posta in arrivo, potrebbe seguire comandi indesiderati.
Il rischio reale dipendeva dalla persona che aveva richiesto a ChatGPT di condurre un'indagine specifica sulla propria e-mail e dal fatto che il problema corrispondeva al contenuto dell'e-mail dannosaTuttavia, il vettore dimostra come un agente di intelligenza artificiale possa diventare proprio ciò che facilita la fuga di dati.
Tra le informazioni potenzialmente interessate potrebbero apparire nomi, indirizzi o altri dati personali presente nei messaggi elaborati dall'agente. Non si è trattato di un accesso aperto all'account, bensì di un'esfiltrazione condizionata dal compito assegnato all'assistente.
Un aspetto particolarmente delicato è che l'attività è partita dal Infrastruttura cloud OpenAI, il che rendeva difficile per le difese tradizionali rilevare comportamenti anomali poiché non provenivano dal dispositivo dell'utente.
ShadowLeak: l'iniezione tempestiva che lo ha reso possibile
Radware ha soprannominato la tecnica ShadowLeak e lo incornicia in un iniezione indiretta immediata: istruzioni nascoste all'interno del contenuto che l'agente analizza, in grado di influenzarne il comportamento senza che l'utente se ne accorga.
L'aggressore ha inviato un'e-mail con istruzioni HTML camuffate attraverso trucchi come caratteri minuscoli o testo bianco su sfondo bianco. A prima vista L'e-mail sembrava innocua, ma conteneva istruzioni per cercare dati specifici nella posta in arrivo..
Quando l'utente ha chiesto a Deep Research di lavorare sulla sua email, l'agente ha letto quelle istruzioni invisibili e ha proceduto all'estrazione e all'invio di dati a un sito web controllato dall'aggressoreNei test, i ricercatori sono arrivati addirittura a codificare le informazioni in Base64, per farle apparire come una presunta misura di sicurezza.
Le barriere che richiedevano il consenso esplicito per aprire i link potevano anche essere aggirate invocando gli strumenti di navigazione dell'agente, che facilitavano l' esfiltrazione verso domini esterni sotto il controllo dell'aggressore.
In ambienti controllati, I team Radware hanno notato un grado di efficacia molto elevato, dimostrando che la combinazione di accesso alla posta e autonomia dell'agente può essere persuasivo per il modello se le istruzioni incorporate non vengono filtrate correttamente.
Perché è passato inosservato alle difese
Le comunicazioni provenivano da server attendibili, quindi i sistemi aziendali rilevavano traffico legittimo proveniente da un servizio affidabile. Questo dettaglio ha trasformato la fuga di notizie in un punto cieco per molte soluzioni monitoraggio.
Inoltre, la vittima non ha dovuto cliccare o eseguire nulla di specifico: ha semplicemente chiesto all'agente una ricerca relativa all'oggetto dell'email preparata dall'attaccante, cosa che rende la manovra silenzioso e difficile da rintracciare.
I ricercatori sottolineano che Ci troviamo di fronte a un nuovo tipo di minaccia in cui l'agente AI stesso funge da vettore. Anche con un impatto pratico limitato, il caso ci obbliga a rivedere il modo in cui concediamo le autorizzazioni agli strumenti automatizzati.
Correzione degli errori e raccomandazioni pratiche
OpenAI ha implementato delle mitigazioni in seguito alla notifica di Radware e ha espresso la sua gratitudine per le prove contraddittorie, sottolineando che rafforza costantemente le sue garanzie. Ad oggi, il fornitore afferma che non ci sono prove di sfruttamento di questo vettore.
Deep Research è un agente facoltativo che può connettersi a Gmail solo con l'esplicita autorizzazione dell'utente. Prima di collegare caselle di posta o documenti a un assistente, È opportuno valutare la reale portata dei permessi e limitare l'accesso allo stretto necessario..
Se hai collegato i servizi Google, revisione e accesso al debug è semplice:
- Vai su myaccount.google.com/security per aprire il pannello di sicurezza.
- Nella sezione connessioni, fare clic su Visualizza tutte le connessioni.
- Identifica ChatGPT o altre app che non riconosci e revocane le autorizzazioni..
- Rimuovere gli accessi non necessari e concedere nuovamente solo quelli strettamente necessari. essenziale.
Per gli utenti e le aziende, È fondamentale combinare il buon senso e le misure tecniche: mantenere tutto aggiornato, applicare il principio del privilegio minimo agli agenti e ai connettorie monitorare l'attività degli strumenti con accesso a dati sensibili.
Negli ambienti aziendali, gli esperti raccomandano di incorporare controlli aggiuntivi per gli agenti di intelligenza artificiale e, se vengono utilizzati servizi di Deep Research o simili, limitare le capacità come l'apertura di link o l'invio di dati a domini non verificati.
La ricerca di Radware e la rapida mitigazione di OpenAI lasciano una chiara lezione: collegare gli assistenti a Gmail offre vantaggi, ma richiede sicurezza valutare i permessi, monitorare i comportamenti e presupponiamo che l'iniezione di istruzioni continuerà a testare gli agenti di intelligenza artificiale.
Sono un appassionato di tecnologia che ha trasformato i suoi interessi "geek" in una professione. Ho trascorso più di 10 anni della mia vita utilizzando tecnologie all'avanguardia e armeggiando con tutti i tipi di programmi per pura curiosità. Ora mi sono specializzato in informatica e videogiochi. Questo perché da più di 5 anni scrivo per vari siti web di tecnologia e videogiochi, creando articoli che cercano di darti le informazioni di cui hai bisogno in un linguaggio comprensibile a tutti.
In caso di domande, le mie conoscenze spaziano da tutto ciò che riguarda il sistema operativo Windows e Android per telefoni cellulari. E il mio impegno è nei tuoi confronti, sono sempre disposto a dedicare qualche minuto e aiutarti a risolvere qualsiasi domanda tu possa avere in questo mondo di Internet.