Un document infectat poate divulga date pe Google Drive prin intermediul ChatGPT (Foto: Wired).
Îngrijorător este faptul că această vulnerabilitate nu necesită nicio acțiune din partea utilizatorului, ceea ce ridică noi avertismente privind securitatea cibernetică în contextul modelelor de inteligență artificială (IA) din ce în ce mai conectate la datele cu caracter personal.
Documentele „otrăvite” duc la scurgeri de date
La conferința de securitate Black Hat din Las Vegas (SUA) din 6 august, doi experți, Michael Bargury și Tamir Ishay Sharbat, au demonstrat o metodă de atac numită AgentFlayer .
Acest atac exploatează o vulnerabilitate din Connectors – o funcție care conectează ChatGPT cu servicii externe precum Google Drive, Gmail sau Microsoft Calendar.
„Un utilizator nu trebuie să facă nimic pentru a fi compromis sau pentru ca datele sale să fie scurse”, a declarat Michael Bargury, director tehnic al firmei de securitate Zenity. „Am dovedit că este complet fără clicuri.”
Atacul începe cu distribuirea de către atacator a unui document „otrăvit” pe Google Drive-ul victimei. Documentul conține o solicitare malițioasă de aproximativ 300 de cuvinte, scrisă cu font alb, de 1 punct – aproape invizibilă cu ochiul liber, dar totuși lizibilă pentru computer.
La suprafață, textul este deghizat în note de ședință. În realitate, conține instrucțiuni pentru ChatGPT de a găsi și extrage chei API sensibile din contul Google Drive al victimei.
În loc să rezume conținutul așa cum a solicitat utilizatorul, această solicitare ascunsă obligă inteligența artificială să trimită cheile API pe care le găsește către un server extern printr-un link Markdown. Datele sunt extrase ca o imagine, permițând serverului să captureze întreaga informație.
OpenAI a rezolvat problema, dar riscurile rămân
OpenAI a implementat rapid măsuri de atenuare a riscurilor după ce a primit raportul lui Bargury. „Este important să dezvoltăm apărări robuste împotriva atacurilor rapide de injectare de malware”, a declarat Andy Wen, director senior al departamentului de management al produselor de securitate la Google Workspace.
Deși a fost corectat, incidentul evidențiază riscurile potențiale ale conectării modelelor lingvistice mari (LLM) la sisteme externe. Pe măsură ce inteligența artificială devine tot mai profund integrată în viața și munca noastră, suprafața de atac pe care hackerii o pot exploata se extinde și ea.
Experții avertizează că injectarea promptă indirectă poate deveni o amenințare serioasă, permițând atacatorilor să preia controlul asupra multor sisteme inteligente, de la case inteligente la infrastructura întreprinderilor.
„Conectarea LLM la surse de date externe este puternică, dar, așa cum se întâmplă adesea cu inteligența artificială, cu cât mai multă putere vine și cu atât mai mult risc”, conchide Bargury.
Sursă: https://dantri.com.vn/cong-nghe/canh-bao-lo-du-lieu-luu-tru-tren-google-drive-thong-qua-chatgpt-20250807155706949.htm
![[VIDEO] Petrovietnam – 50 de ani de păstrare a torței patrimoniului și de construire a energiei naționale](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/9/3/3f5df73a4d394f2484f016fda7725e10)
![[Foto] Președintele Luong Cuong se întâlnește cu președintele rus Vladimir Putin](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/9/3/87982dff3a724aa880eeca77d17eff7f)
Comentariu (0)