• Công ty bảo mật PromptArmor phát hiện lỗ hổng prompt injection trong Slack AI, cho phép truy cập dữ liệu từ các kênh Slack riêng tư.
• Slack AI sử dụng dữ liệu hội thoại trong Slack để tạo trải nghiệm AI được cá nhân hóa, nhưng lỗ hổng này khiến nó không an toàn như quảng cáo.
• Vấn đề cốt lõi là Slack cho phép truy vấn người dùng lấy dữ liệu từ cả kênh công khai và riêng tư, kể cả kênh công khai mà người dùng chưa tham gia.
• Kẻ tấn công có thể khai thác lỗ hổng này để lấy cắp API key hoặc dữ liệu khác từ kênh riêng tư mà họ không có quyền truy cập.
• Chuỗi tấn công mẫu bắt đầu bằng việc người dùng đặt API key trong kênh Slack riêng tư. Kẻ tấn công tạo kênh công khai và nhập prompt độc hại.
• Prompt độc hại hướng dẫn Slack AI trả lời truy vấn về API key bằng cách thay thế từ khóa bằng giá trị API key trong tham số URL.
• Khi người dùng truy vấn Slack AI về API key, LLM sẽ đưa prompt của kẻ tấn công vào ngữ cảnh và hiển thị thông điệp dưới dạng liên kết xác thực có thể nhấp được.
• Nhấp vào liên kết sẽ gửi dữ liệu API key đến trang web được liệt kê, nơi kẻ tấn công có thể truy cập trong nhật ký máy chủ web.
• Cập nhật ngày 14/8 của Slack thêm tệp từ kênh và tin nhắn trực tiếp vào câu trả lời Slack AI, khiến tệp người dùng trở thành mục tiêu tiềm năng.
• Tệp cũng có thể trở thành vector cho prompt injection, nghĩa là kẻ tấn công thậm chí không cần là thành viên của Workspace.
• PromptArmor khuyến nghị chủ sở hữu và quản trị viên Workspace hạn chế quyền truy cập của Slack AI vào tài liệu cho đến khi vấn đề được giải quyết.
• Slack cho rằng đây là hành vi dự kiến, nhưng PromptArmor cho rằng Slack đã hiểu sai rủi ro do prompt injection gây ra.
• Salesforce (công ty mẹ của Slack) đã xác nhận vấn đề và triển khai bản vá để khắc phục. Họ chưa phát hiện bằng chứng về việc truy cập trái phép vào dữ liệu khách hàng.
📌 Lỗ hổng prompt injection trong Slack AI cho phép truy cập dữ liệu từ kênh riêng tư, bao gồm API key. Salesforce đã phát hành bản vá, nhưng quản trị viên nên hạn chế quyền truy cập của Slack AI vào tài liệu để đảm bảo an toàn.
https://www.theregister.com/2024/08/21/slack_ai_prompt_injection/