ShadowLeak: Gmail-e-maillek via ChatGPT

Radware-experts hebben een nieuwe indirecte promptinjectieaanval op ChatGPT beschreven (vergelijkbaar met een aanval ontdekt door een Japanse onderzoeker) die toegang tot Gmail mogelijk maakt zonder gebruikersinteractie. ShadowLeak maakt gebruik van de agentieve mogelijkheden van de AI-assistent Deep Research. OpenAI heeft de kwetsbaarheid al gepatcht.

Beschrijving van de ShadowLeak-aanval

Deep Research kan een gedetailleerd rapport over een specifiek onderwerp maken door informatie uit meerdere bronnen te combineren (dit kan tot 30 minuten duren). Om relevantere antwoorden te krijgen, kan het uw persoonlijke content via Gmail en andere apps van derden lezen. Het is toegankelijk voor alle consumenten en zakelijke gebruikers.

De indirecte promptinjectieaanval houdt in dat er een e-mail wordt verzonden met verborgen instructies (onzichtbare lettergrootte of wit op een witte achtergrond) in de HTML-code. Wanneer het nietsvermoedende slachtoffer ChatGPT vraagt ​​om e-mails in Gmail te analyseren, leest Deep Research de "val"-e-mail en voert de verborgen prompt uit.

In het voorbeeld van Radware zoekt de AI-assistent naar de persoonlijke gegevens van de medewerker (naam, adres en andere informatie) en stuurt deze naar de URL die in de instructies is opgegeven, zonder enige interactie van de gebruiker (geen klik). In sommige gevallen voerde ChatGPT de prompt niet uit. Na verschillende pogingen vonden de onderzoekers een manier om de beveiliging te omzeilen, met 100% succes.

In tegenstelling tot andere vergelijkbare aanvallen geeft ShadowLeak geen URL's en privégegevens door aan de client om de webaanvraag te doen. Deze aanvraag wordt rechtstreeks door de AI-agent op de cloudinfrastructuur van OpenAI gedaan. Gmail werd gebruikt in de demonstratie, maar de aanval werkt met andere services die kunnen worden gekoppeld aan Deep Research, waaronder Google Drive, Box, Outlook, Teams en GitHub.