Компания по безопасности утверждает, что надстройка ЧатГПТ для Google Таблиц может похищать данные пользователей
Надстройка ЧатГПТ подвержена злоупотреблениям на уровне всей таблицы
Компания по безопасности утверждает, что нашла способ заставить надстройку ЧатГПТ для Google Таблиц выводить данные из аккаунта жертвы, что вызывает новые опасения по поводу сторонних AI-инструментов, которые могут работать с конфиденциальными корпоративными документами.
Проблема связана с косвенной инъекцией подсказки, которая может начинаться с одного, на первый взгляд безобидного запроса в одной таблице. По словам исследователей, этого одного взаимодействия может быть достаточно, чтобы вызвать более широкие последствия в аккаунте пользователя, включая кражу данных из нескольких рабочих книг и замену боковой панели ЧатГПТ интерфейсом, контролируемым злоумышленником.
Атака не зависит от того, одобряет ли человек каждый шаг. Исследователи заявили, что она срабатывает даже когда пользователь включил настройки, предназначенные для запроса подтверждения у человека перед редактированием рабочих книг, включая контроль «Применять изменения автоматически». В их тестировании недоверенное содержимое внутри листа — или содержимое, подтянутое через коннектор ЧатГПТ — могло манипулировать моделью так, чтобы она запускала внешний скрипт, контролируемый атакующим, используя уже выданные расширению разрешения.
ОупенЭйАй недавно запустила расширение для Google Таблиц, которое за месяц набрало более 185 000 загрузок. Надстройка позволяет пользователям взаимодействовать с электронными таблицами через боковую панель ЧатГПТ и также получать данные через коннекторы ЧатГПТ.
В обновлении, опубликованном после обнародования исследования, ОупенЭйАй заявила, что предприняла незамедлительные шаги для защиты пользователей, убрав у модели возможность генерировать код Apps Script, что, по их словам, должно устранить риск для пользователей ЧатГПТ для Google Таблиц. Компания также сообщила, что пересматривает способ взаимодействия функции с API Google Таблиц и свой подход к песочнице.
Исследователи заявили, что ответственно раскрыли уязвимость, но после последующих обращений получили только автоматический ответ. Они также отмечали, что документация ОупенЭйАй не ясно объясняет предоставленные модели чувствительные возможности, включая способность запускать привилегированные скрипты, или риски, связанные с косвенной инъекцией подсказки.
Эти выводы добавляют новый пункт в растущий список проблем безопасности вокруг AI-инструментов, встраиваемых в ПО для повышения продуктивности, где удобство быстро превращается в риск компрометации аккаунта, если модели разрешено действовать на основе недоверенных данных.
Источники: