SongAI

Tin nóng

OpenAI hay tự xây dựng: so sánh chi phí thực tế của việc tự lưu trữ các mô hình ngôn ngữ lớn
Google đã phát hành hướng dẫn 45 trang về cách viết lệnh tốt nhất cho AI Gemini
Gã khổng lồ công nghệ Trung Quốc Alibaba tiết lộ công cụ video AI mới
Hãy coi chừng những chi phí tiềm ẩn của AI trước khi chúng làm phá sản sự đổi mới
Researchers from Johns Hopkins and UC Santa Cruz Unveil D-iGPT: A Groundbreaking Advance in Image-Based AI Learning
AMD Disrupts AI Accelerator Market with New MI300 Offerings
Unlocking the potential of generative AI: Three key questions for government agencies
UNESCO ra mắt 2 khung năng lực AI mới cho học sinh và giáo viên
Demystifying AI PCs: What is an NPU
The AI Frenzy, Fed Meets, Hunter Biden: Your Sunday US Briefing
AI cybersecurity 2024-08-23 00:09:00

Lỗ hổng bảo mật trong Slack AI cho phép truy cập dữ liệu từ kênh riêng tư thông qua prompt injection

• Công ty bảo mật PromptArmor phát hiện lỗ hổng prompt injection trong Slack AI, cho phép truy cập dữ liệu từ các kênh Slack riêng tư.

• Slack AI sử dụng dữ liệu hội thoại trong Slack để tạo trải nghiệm AI được cá nhân hóa, nhưng lỗ hổng này khiến nó không an toàn như quảng cáo.

• Vấn đề cốt lõi là Slack cho phép truy vấn người dùng lấy dữ liệu từ cả kênh công khai và riêng tư, kể cả kênh công khai mà người dùng chưa tham gia.

Kẻ tấn công có thể khai thác lỗ hổng này để lấy cắp API key hoặc dữ liệu khác từ kênh riêng tư mà họ không có quyền truy cập.

• Chuỗi tấn công mẫu bắt đầu bằng việc người dùng đặt API key trong kênh Slack riêng tư. Kẻ tấn công tạo kênh công khai và nhập prompt độc hại.

Prompt độc hại hướng dẫn Slack AI trả lời truy vấn về API key bằng cách thay thế từ khóa bằng giá trị API key trong tham số URL.

Khi người dùng truy vấn Slack AI về API key, LLM sẽ đưa prompt của kẻ tấn công vào ngữ cảnh và hiển thị thông điệp dưới dạng liên kết xác thực có thể nhấp được.

• Nhấp vào liên kết sẽ gửi dữ liệu API key đến trang web được liệt kê, nơi kẻ tấn công có thể truy cập trong nhật ký máy chủ web.

• Cập nhật ngày 14/8 của Slack thêm tệp từ kênh và tin nhắn trực tiếp vào câu trả lời Slack AI, khiến tệp người dùng trở thành mục tiêu tiềm năng.

• Tệp cũng có thể trở thành vector cho prompt injection, nghĩa là kẻ tấn công thậm chí không cần là thành viên của Workspace.

• PromptArmor khuyến nghị chủ sở hữu và quản trị viên Workspace hạn chế quyền truy cập của Slack AI vào tài liệu cho đến khi vấn đề được giải quyết.

• Slack cho rằng đây là hành vi dự kiến, nhưng PromptArmor cho rằng Slack đã hiểu sai rủi ro do prompt injection gây ra.

Salesforce (công ty mẹ của Slack) đã xác nhận vấn đề và triển khai bản vá để khắc phục. Họ chưa phát hiện bằng chứng về việc truy cập trái phép vào dữ liệu khách hàng.

📌 Lỗ hổng prompt injection trong Slack AI cho phép truy cập dữ liệu từ kênh riêng tư, bao gồm API key. Salesforce đã phát hành bản vá, nhưng quản trị viên nên hạn chế quyền truy cập của Slack AI vào tài liệu để đảm bảo an toàn.

https://www.theregister.com/2024/08/21/slack_ai_prompt_injection/

Nguồn tham khảo
14

Thảo luận

Follow Us

12,345 Fans 12,345 Followers 12,345 Subscribers

Tin phổ biến

AI so sánh
OpenAI hay tự xây dựng: so sánh chi phí thực tế của việc tự lưu trữ các mô hình ngôn ngữ lớn
AI prompts
Google đã phát hành hướng dẫn 45 trang về cách viết lệnh tốt nhất cho AI Gemini
AI ảnh-video-music-âm thanh AI so sánh
Gã khổng lồ công nghệ Trung Quốc Alibaba tiết lộ công cụ video AI mới
AI pháp lý-quản trị-chủ quyền
Hãy coi chừng những chi phí tiềm ẩn của AI trước khi chúng làm phá sản sự đổi mới
Researchers from Johns Hopkins and UC Santa Cruz Unveil D-iGPT: A Groundbreaking Advance in Image-Based AI Learning
AMD Disrupts AI Accelerator Market with New MI300 Offerings
Unlocking the potential of generative AI: Three key questions for government agencies
AI giáo dục
UNESCO ra mắt 2 khung năng lực AI mới cho học sinh và giáo viên
Demystifying AI PCs: What is an NPU
The AI Frenzy, Fed Meets, Hunter Biden: Your Sunday US Briefing

TAG

AI giáo dục AI sinh-y-duoc AI nghệ thuật AI pháp lý-quản trị-chủ quyền AI models AI xã hội AI prompts AI kiến thức-khóa học AI video AI công nghiệp-lĩnh vực AI edge AI viễn thông AI tools AI chính phủ AI GPT Store AI cybersecurity AI so sánh AI đạo đức AI tips AI market AI relations AI quân sự AI an toàn-an ninh-techwar AI việc làm AGI AI doanh nghiệp AI No-Low Code OpenAI ChatGPT AI môi trường-năng lượng AI skill-talent AI & công nghệ khác AI nghiên cứu AI chips-hardware-compute AI vs con người AI coding assistant AI mở-nguồn mở AI năng suất AI startup-M&A AI tương lai AI báo chí AI data AI bản quyền AI PC AI riêng tư AI deepfake-ảo giác-ANTT AI ảnh-video-music-âm thanh AI detect-test AI minh bạch AI nhỏ AI hồi sinh AI kiếm tiền AI nông nghiệp-thực phẩm AI ngân hàng-tài chính AI giao thông AI marketing-kinh doanh AI smartphone AI robotics-auto-agents AI consumer devices AI ecosystem AI manufacturing AI benchmark Telecom AI thành công-thất bại National AI links Digital Semi-Cloud-DC-Green Cybersecurity Digital Legal HTS

© Sóng AI - Tóm tắt tin, bài trí tuệ nhân tạo