Μια ανησυχητική υπόθεση ήρθε στο φως αυτή την εβδομάδα από την εταιρεία κυβερνοασφάλειας Radware, αποκαλύπτοντας πώς το ChatGPT θα μπορούσε να παρασυρθεί και να χρησιμοποιηθεί για την υποκλοπή ευαίσθητων δεδομένων από Gmail λογαριασμούς, χωρίς οι χρήστες να αντιληφθούν το παραμικρό. Αν και η ευπάθεια έχει ήδη κλείσει από την OpenAI, το περιστατικό αποτελεί χαρακτηριστικό παράδειγμα των νέων απειλών που συνοδεύουν την άνοδο των λεγόμενων agentic AI.

Η επίθεση, με την κωδική ονομασία Shadow Leak, αξιοποίησε μια ιδιομορφία στον τρόπο λειτουργίας των AI agents. Πρόκειται για «έξυπνους» βοηθούς που μπορούν να ενεργούν αυτόνομα για λογαριασμό του χρήστη, να πλοηγούνται στο διαδίκτυο, να ακολουθούν συνδέσμους και να διαχειρίζονται προσωπικά δεδομένα όπως email, ημερολόγια και έγγραφα εργασίας. Οι εταιρείες τεχνητής νοημοσύνης τα παρουσιάζουν ως εργαλεία που εξοικονομούν πολύτιμο χρόνο, με αντάλλαγμα όμως την παραχώρηση εκτεταμένων αδειών πρόσβασης.

Οι ερευνητές της Radware εκμεταλλεύτηκαν αυτή τη λειτουργία μέσω μιας τεχνικής γνωστής ως prompt injection. Πρόκειται για ειδικές οδηγίες που «ξεγελούν» το σύστημα και το ωθούν να εκτελέσει εντολές υπέρ του επιτιθέμενου. Το επικίνδυνο στοιχείο είναι ότι οι εντολές αυτές μπορούν να κρύβονται επιμελώς μέσα σε κείμενα ή γραφικά που μοιάζουν αθώα, όπως λευκά γράμματα σε λευκό φόντο, και να περνούν απαρατήρητες από τους χρήστες.

Στο επίκεντρο του περιστατικού βρέθηκε το Deep Research, ένα προηγμένο εργαλείο της OpenAI που ενσωματώνεται στο ChatGPT και επιτρέπει πιο σύνθετες αναζητήσεις και ανάλυση δεδομένων. Οι ειδικοί της Radware έστειλαν ένα email με κρυμμένο prompt injection σε ένα Gmail inbox που ήταν συνδεδεμένο με το Deep Research.

Το μήνυμα έμεινε εκεί, σιωπηλό, μέχρι τη στιγμή που ο χρήστης θα επιχειρούσε να χρησιμοποιήσει το εργαλείο. Τότε το Deep Research, ακολουθώντας τις κρυφές οδηγίες, αναλάμβανε να εντοπίσει email με προσωπικά στοιχεία ή HR δεδομένα και να τα αποστείλει στους επιτιθέμενους, χωρίς να αφήνει εμφανή ίχνη στον κάτοχο του λογαριασμού.

Η Radware παραδέχθηκε ότι η διαδικασία δεν ήταν απλή. Χρειάστηκαν επανειλημμένες δοκιμές, αποτυχημένες προσπάθειες και πολυάριθμα εμπόδια μέχρι να βρουν τον τρόπο να κάνουν το σύστημα να εκτελέσει τη διαρροή δεδομένων. «Ήταν ένα πραγματικό rollercoaster», ανέφεραν χαρακτηριστικά οι ερευνητές.

Το ανησυχητικό είναι ότι σε αντίθεση με πολλές άλλες επιθέσεις αυτού του τύπου, το Shadow Leak λειτούργησε απευθείας μέσα στο cloud περιβάλλον της OpenAI, γεγονός που καθιστούσε αδύνατο να ανιχνευθεί από τα συνήθη μέτρα κυβερνοασφάλειας.

Αν και το συγκεκριμένο proof-of-concept στόχευσε το Gmail, οι ερευνητές προειδοποιούν ότι η ίδια τεχνική μπορεί να εφαρμοστεί σε μια σειρά από άλλες δημοφιλείς εφαρμογές που συνδέονται με το Deep Research, όπως Outlook, GitHub, Google Drive και Dropbox. Αυτό θα μπορούσε να ανοίξει τον δρόμο για την υποκλοπή εξαιρετικά ευαίσθητων επιχειρησιακών δεδομένων, από συμβόλαια και σημειώσεις συναντήσεων μέχρι αρχεία πελατών.

Η OpenAI ενημερώθηκε για την ευπάθεια τον Ιούνιο και, σύμφωνα με την Radware, έχει ήδη προχωρήσει στο κλείσιμό της. Η εταιρεία δεν έχει δώσει λεπτομέρειες για το πώς ενίσχυσε τα μέτρα προστασίας, αλλά το περιστατικό επιβεβαιώνει ότι ακόμα και οι πιο εξελιγμένες πλατφόρμες τεχνητής νοημοσύνης μπορούν να γίνουν στόχοι δημιουργικών και επίμονων επιθέσεων.

Η υπόθεση Shadow Leak δεν φαίνεται να είχε πραγματικά θύματα, αφού σχεδιάστηκε ως πείραμα στο πλαίσιο έρευνας. Παρ’ όλα αυτά, η Radware υπογραμμίζει ότι η τεχνική είναι άκρως εφαρμόσιμη σε πραγματικές επιθέσεις, κάτι που θα μπορούσε να έχει σοβαρές συνέπειες αν έπεφτε σε λάθος χέρια.

Πηγή: Radware