Onderzoek: één e-mail was al genoeg om ChatGPT te manipuleren en data te lekken
Het gaat om een nieuw type aanval dat door onderzoekers van Radware de naam ShadowLeak kreeg. Het lek werd in juni al discreet kenbaar gemaakt richting OpenAI, dat de kwetsbaarheid sindsdien heeft kunnen verhelpen. De kans is reëel dat het lek effectief misbruikt werd door cybercriminelen, al zijn daar niet meteen details over bekend. Hoe dan ook toont het wel weer aan dat AI-systemen op verschillende manieren gemanipuleerd kunnen worden en dat waakzaamheid geboden blijft.
ChatGPT gemanipuleerd via e-mail
De kern van ShadowLeak zit in een op zich simpele e-mail die aanvallers naar een slachtoffer sturen, in dit geval naar een Gmail-adres. De mail oogt onschuldig, maar in de HTML-code zit een opdracht voor ChatGPT verborgen. Deze opdracht is niet meteen leesbaar voor de gebruiker, wel voor de chatbot.
Wanneer het slachtoffer ChatGPT via de Deep Research Agent aan Gmail koppelt en de opdracht geeft om op een of andere manier met Gmail aan de slag te gaan, bijvoorbeeld door te zeggen dat alle e-mail geanalyseerd moeten worden, dan zal ChatGPT op een bepaald moment de verborgen prompt tegenkomen en die beginnen uitvoeren.
Op deze manier kunnen cybercriminelen ChatGPT dus makkelijk manipuleren, bijvoorbeeld om bepaalde gevoelige data uit Gmail te halen en naar een externe server te sturen. Omdat het een authentieke opdracht lijkt, gaan er nergens bij ChatGPT alarmbellen af, waardoor zomaar gevoelige data gelekt wordt.
Bovendien gaat het in dit geval ook nog eens om een lek dat zich volledig afspeelt in de cloudomgeving van ChatGPT, terwijl bij eerdere, gelijkaardige aanvallen het systeem van de gebruiker zelf nog geviseerd werd. Dat alles zich in de cloud afspeelt, was nog een reden waarom meer traditionele veiligheidsmaatregelen faalden.
Ook andere diensten kwetsbaar
De onderzoekers van Radware demonstreerden het lek aan de hand van Gmail, maar wijzen erop dat hetzelfde principe ook andere diensten kwetsbaar maakt wanneer er een connectie is met ChatGPT en de Deep Research Agent. Ook Outlook, Dropbox, Google Drive, SharePoint en andere diensten kunnen immers stiekem van een geheime prompt toegestuurd krijgen die dan uitgevoerd wordt door ChatGPT. Voorts is niet uitgesloten dat ook andere AI-platformen op een gelijkaardige manier gemanipuleerd kunnen worden.
Het goede nieuws is alleszins dat OpenAI de kwetsbaarheid in kwestie opgelost heeft, maar zoals gezegd toont het wel weer aan dat we in een nieuwe wereld vol AI ook met heel wat nieuwe cyberdreigingen te maken zullen krijgen.
