Data gestolen uit Google Drive via AI-koppeling ChatGPT
Dat gebeurt via de zogeheten Connectors van OpenAI’s ChatGPT. Met slechts één ‘vergiftigd’ document konden ze gevoelige gegevens uit een gekoppelde Google Drive halen, zonder dat de gebruiker ook maar iets hoefde te doen.
Zero-click door verborgen prompt
De aanval werd uitgevoerd door Michael Bargury en Tamir Ishay Sharbat van het beveiligingsbedrijf Zenity, zo meldt Wired. Ze gaven het de naam AgentFlayer, en die klinkt terecht onheilspellend. Het idee: een nietsvermoedende gebruiker ontvangt een gedeeld document via Google Drive. In dat document zit een verborgen prompt verstopt, geschreven in witte tekstkleur en lettergrootte 1. Dat is voor het menselijk oog vrijwel onzichtbaar, maar voor ChatGPT perfect leesbaar.
Zodra de gebruiker dan een onschuldige vraag stelt zoals “Vat mijn laatste meeting met Sam samen”, trapt het AI-model in de val. In plaats van de tekst samen te vatten, voert het instructies uit die in de verborgen prompt zijn meegegeven. In dit geval: doorzoek de Drive op API-sleutels en plak ze in een link naar een externe server. Zo werd de gevoelige info (in dit geval een API-key) ongemerkt weggesluisd via een ogenschijnlijk onschuldige afbeeldingslink in Markdown-formaat. Bargury benadrukt dat deze aanval zero-click is: je hoeft het document niet te openen, noch actief iets te doen. Het enkel delen met jouw Google-account is voldoende.
OpenAI werkt aan oplossing
OpenAI kreeg eerder dit jaar melding van het probleem en rolde intussen tegenmaatregelen uit. Toch blijft dit voorbeeld opnieuw aantonen hoe kwetsbaar AI-systemen kunnen worden zodra je ze verbindt met persoonlijke of zakelijke data.
Volgens Google is dit probleem niet specifiek aan hun Drive-platform gekoppeld, maar het toont wel aan waarom bescherming tegen zogeheten indirecte promptinjecties essentieel wordt. Want hoe meer AI’s gekoppeld worden aan externe bronnen, hoe groter het risico dat hackers malafide instructies in je data verstoppen.
