Exfiltração de dados causada por injeção indireta de prompt via Slack AI
- Essa vulnerabilidade permite que um invasor roube todos os dados que um usuário colocou em canais privados do Slack
- Um invasor pode exfiltrar dados de canais privados por meio do Slack AI
- O Slack AI é um recurso que permite consultar mensagens do Slack em linguagem natural
- Desde 14 de agosto, o Slack passou a coletar documentos enviados, arquivos do Google Drive etc., aumentando a superfície de risco
1. Vulnerabilidade
- Injeção de prompt: o LLM não consegue distinguir entre o "prompt de sistema" criado pelo desenvolvedor e o restante do contexto adicionado à consulta
- Injeção indireta de prompt: por meio de uma mensagem contendo instruções maliciosas, o Slack AI pode acabar seguindo essas instruções em vez da consulta do usuário
- A ameaça interna no Slack já era um problema, e agora invasores podem exfiltrar dados sem precisar acessar canais privados ou os dados diretamente
2. Cadeia de ataque de exfiltração de dados: injeção em canal público
- No Slack, a consulta do usuário pesquisa dados de canais públicos e privados
- Um invasor pode exfiltrar chaves de API que estejam em um canal privado
- Cadeia de ataque:
- A) O usuário coloca uma chave de API em seu canal privado
- B) O invasor insere instruções maliciosas em um canal público
- C) Quando o usuário consulta o Slack AI sobre a chave de API, a mensagem do invasor é incluída na mesma "janela de contexto"
- D) O Slack AI segue as instruções do invasor e induz o usuário a clicar em um link
- E) Quando o usuário clica no link, a chave de API é exfiltrada
3. Cadeia de ataque de phishing: injeção em canal público
- Em vez de exfiltração de dados, um link de phishing é renderizado
- Cadeia de ataque:
- A) O invasor insere uma mensagem maliciosa em um canal público
- B) O usuário faz uma consulta para resumir as mensagens de um usuário específico
- C) O link de phishing é renderizado em Markdown
4. O significado da mudança no Slack AI em 14 de agosto: injeção por arquivo
- O Slack AI foi alterado para incluir arquivos em canais e DMs
- A superfície de ataque se ampliou bastante
- Se um PDF contendo instruções maliciosas for baixado e enviado ao Slack, a mesma cadeia de ataque pode ocorrer
- Administradores devem restringir o recurso de coleta de documentos do Slack AI
5. Colocando em contexto
- Esses ataques também são possíveis em vários aplicativos, como Microsoft Copilot e Google Bard
- Cronograma de divulgação responsável:
- 14 de agosto: divulgação inicial
- 15 de agosto: solicitação de informações adicionais
- 15 de agosto: fornecimento de vídeo adicional e capturas de tela
- 16 de agosto: perguntas adicionais
- 16 de agosto: fornecimento de resposta clara
- 19 de agosto: o Slack concluiu que as evidências eram insuficientes
Resumo do GN⁺
- A vulnerabilidade de injeção indireta de prompt no Slack AI é um problema grave que pode exfiltrar dados de canais privados
- Invasores podem exfiltrar dados sem acessar canais privados
- A mudança de funcionalidade do Slack AI aumentou significativamente a superfície de ataque
- Usuários devem restringir o recurso de coleta de documentos do Slack AI para reduzir o risco
- Aplicativos com recursos semelhantes incluem Microsoft Copilot e Google Bard
1 comentários
Opiniões no Hacker News
Parece melhor colocar a chave de API "confetti" como parte do nome de domínio
O ponto central desse ataque é entender o vetor de exfiltração de dados
A discussão sobre permissões de canal deixa isso desnecessariamente mais complicado
É loucura as empresas aplicarem LLMs cegamente em tudo
A vítima não precisa estar em um canal público para o ataque funcionar
Configurações semelhantes já foram exploradas em desafios de CTF
O artigo não corresponde ao título
A inteligência artificial muda, mas a estupidez humana não
Precisamos parar de dar autenticação dedicada a agentes de IA
É um vetor de ataque muito interessante