主要内容
最新的生成式 AI 模型并非单纯的独立文本生成聊天机器人,而是能轻松与你的数据相连接,为你的问题提供个性化答案。OpenAI 的 ChatGPT 可与你的 Gmail 收件箱关联,允许查看你的 GitHub 代码,或在你的 Microsoft 日历中查找约会。但这些连接存在被滥用的可能,研究人员已表明只需一份“中毒”文档即可做到。
今日在拉斯维加斯举行的黑帽黑客大会上,安全研究员 Michael Bargury 和 Tamir Ishay Sharbat 公布的新发现显示,OpenAI 连接器的一个弱点,使得通过间接提示注入攻击可从 Google Drive 账户中提取敏感信息。在名为 AgentFlayer 的攻击演示中,Bargury 展示了如何提取以 API 密钥形式存储在演示 Drive 账户中的开发者秘密。
该漏洞凸显出将 AI 模型连接到外部系统并在它们之间共享更多数据,会增加恶意黑客的潜在攻击面,并可能使引入漏洞的方式倍增。安全公司 Zenity 的首席技术官 Bargury 告诉《连线》杂志:“用户无需做任何事就会被攻击,也无需做任何事让数据流出。我们已证明这完全无需点击,只需你的电子邮件,与你共享文档,就够了。所以,这非常非常糟糕。”OpenAI 未立即回应《连线》杂志关于连接器漏洞的置评请求。
今年早些时候,该公司推出了 ChatGPT 的连接器作为测试版功能,其网站列出了至少 17 种可与之账户关联的不同服务。它表示该系统允许你“将工具和数据带入 ChatGPT”,并“在聊天中搜索文件、提取实时数据和引用内容”。Bargury 称他今年早些时候已向 OpenAI 报告了这些发现,该公司迅速采取了缓解措施,以防止他通过连接器提取数据的技术。
攻击的方式意味着一次只能提取有限数量的数据,完整文档无法在攻击中被删除。谷歌工作区安全产品管理高级总监 Andy Wen 指出,虽然此问题并非特定于谷歌,但它说明了为何开发针对提示注入攻击的强大保护措施很重要,并提及了该公司最近增强的 AI 安全措施。Bargury 的攻击始于一份中毒文档,该文档被共享到潜在受害者的 Google Drive 中(Bargury 称受害者也可能已将受损文件上传到自己的账户中)。在演示中,这是一份与 OpenAI 首席执行官 Sam Altman 举行的不存在会议的虚构笔记集,Bargury 在文档中隐藏了一个 300 字的恶意提示,其中包含对 ChatGPT 的指令。该提示以白色文本、一号字体书写,人类不太可能看到,但机器仍会读取。在攻击的概念验证视频中,Bargury 展示了受害者要求 ChatGPT“总结我与 Sam 的最后一次会议”,尽管他说任何与会议总结相关的用户查询都可以。相反,隐藏的提示告诉大型语言模型存在“错误”,实际上无需总结该文档。提示称该人实际上是“一名赶截止日期的开发者”,他们需要 AI 在 Google Drive 中搜索 API 密钥,并将其附加到提示中提供的 URL 末尾。该 URL 实际上是 Markdown 语言中的一个命令,用于连接到外部服务器并提取存储在那里的图像。但根据提示的指示,该 URL 现在还包含 AI 在 Google Drive 账户中找到的 API 密钥。使用 Markdown 从 ChatGPT 中提取数据并非新事物。独立安全研究员 J