Slack AI kon gevoelige details uit groepsgesprekken lekken
AI helpt Slack-gebruikers onder andere door (ongelezen) berichten samen te vatten, berichten op verzoek te beantwoorden en bestanden op te zoeken. Gebruikers kunnen de AI oproepen in privé- en groepsgesprekken, en juist in dat laatste geval bleek de beveiliging niet waterdicht te zijn. Dat concludeerden de onderzoekers van PromptArmor, die met een geavanceerde AI-prompt de AI in Slack zover kregen om informatie uit gesloten groepsgesprekken te delen. Belangrijk om te weten: de prompt werd verstuurd vanaf een account dat geen deel uitmaakte van de besloten groep.
Kwetsbaarheid in API-sleutels
De onderzoekers ontdekten dat de Slack AI bijvoorbeeld API-sleutels van besloten Slack-kanalen kan ophalen. Hiervoor moet de aanvaller eerst een openbaar Slack-kanaal aanmaken en vervolgens de genoemde kwaadaardige AI-prompt invoeren. De chatbot van Slack zou hierop reageren door de gevraagde gegevens te verstrekken en een URL te leveren voor de API-sleutels. Zodra er op de link wordt geklikt, worden de API-gegevens blootgesteld aan de hackers.
Volgens PromptArmor kan de kwetsbaarheid ook worden misbruikt om bestanden uit het besloten kanaal te bemachtigen, omdat de AI daar eveneens toegang toe heeft. Dit kan zelfs gebeuren zonder dat de aanvaller deel uitmaakt van de Slack-workspace. De benodigde AI-prompt kan namelijk worden verwerkt in een ‘kwaadaardig bestand’. Zodra gebruikers zo’n bestand uploaden in Slack, wordt de prompt uitgevoerd en krijgen de hackers toegang tot de gevoelige informatie.
Volgens Slack-eigenaar Salesforce is het door AI veroorzaakte lek inmiddels gepatcht, waardoor Slack-gebruikers zich geen zorgen hoeven te maken. PromptArmor wijst er echter op dat Salesforce de kwetsbaarheid in “openbare kanalen” niet heeft opgelost. Dit is echter minder relevant: zodra hackers toegang hebben tot een workspace, kunnen ze sowieso alle openbare kanalen en de daarin opgeslagen bestanden bekijken.
