„Otrovni” dokument otkrio slabost: kako je ChatGPT bez klika izvozio tajne API ključeve

Na konferenciji Black Hat u Las Vegasu dvojica sigurnosnih istraživača, Michael Bargury i Tamir Ishay Sharbat iz tvrtke Zenity, demonstrirali su napad kojim se iz Google Drivea mogu izvući povjerljivi podaci povezanog korisnika – i to bez ikakvog klika žrtve.

Istraživači su slabost pronašli u beta-funkciji Connectors, kojom OpenAI omogućuje spajanje ChatGPT-a s trećim uslugama poput Gmaila, GitHuba ili Microsoftova kalendara. Napad, nazvan AgentFlayer, pokazuje koliko se napadačka površina širi kad se veliki jezični modeli (LLM-ovi) povežu s vanjskim servisima.

„Ne treba nam nikakva radnja korisnika – dovoljno je da imamo njegovu e-adresu, podijelimo dokument i podaci izlaze”, upozorio je Bargury.

Kako funkcionira AgentFlayer

1. Napadač na Drive žrtve pošalje ili tamo ubaci „otrovni” dokument.
2. U njemu je skriven 300-riječni prompt, napisan bijelim tekstom veličine 1, nevidljiv ljudskom oku, ali čitljiv stroju.
3. Kada korisnik, primjerice, zatraži: „Sažmi moj zadnji sastanak sa Samom”, ChatGPT umjesto sažetka slijedi skrivene upute: pretraži Drive za API ključeve i dodaj ih na kraj zadane URL adrese.
4. URL je oblikovan kao Markdown naredba za dohvat slike s vanjskog poslužitelja; prilikom učitavanja slike API ključevi odlaze napadaču.

Bargury navodi da je rupa prijavljena OpenAI-ju ranije ove godine te da su uvedene mjere koje ograničavaju količinu podataka koji se mogu izvući – cijeli se dokument, primjerice, ne može odjednom preuzeti. Ipak, demonstracija potvrđuje da su neizravne prompt injekcije i dalje ozbiljna prijetnja kad se LLM-ovi „otežaju” vanjskim podacima.

Reakcije i širi kontekst • Andy Wen, direktor sigurnosnih proizvoda za Google Workspace, kaže da slučaj „pokazuje zašto su robusne zaštite od prompt injekcija ključne” te podsjeća na pojačane AI sigurnosne mjere u Googleu. • Isti se princip već koristio za krađu podataka iz ChatGPT-a putem Mark-downa; istraživači su ovaj put zaobšli OpenAI-jev mehanizam „url_safe” koristeći Microsoftov Azure Blob, čiji promet nije blokiran. • Ovaj tjedan drugo je istraživanje dokazalo da neizravne injekcije mogu preuzeti kontrolu nad pametnim kućama – paleći svjetla ili bojler na daljinu.

Bargury zaključuje: „LLM-ovi postaju moćniji što ih više spajamo s podacima, ali s većom moći dolazi i veći rizik.”