Хакеры нашли способ украсть личные данные через ChatGPT и «отравленные» документы
На конференции Black Hat исследователи продемонстрировали уязвимость в ChatGPT, позволяющую похищать персональные данные из облачных сервисов с помощью непрямого внедрения подсказок. Достаточно отправить жертве документ со скрытыми инструкциями — и ИИ сам выдаст злоумышленнику конфиденциальную информацию.
Как работает атака
В бета-версии функции Connectors for ChatGPT OpenAI позволяет привязать аккаунты Google (включая Google Drive) для поиска и извлечения данных прямо в чате. Этим и воспользовались специалисты по безопасности: они спрятали в документе вредоносную подсказку из 300 слов, набранную белым шрифтом крошечного размера. Человек её не заметит, но ИИ — прочтёт и выполнит.
ChatGPT выдумал преступление и обвинил в нем норвежцаtproger.ru
В демонстрации ChatGPT был «убеждён» извлечь ключи API Google Drive и передать их атакующему. По словам Майкла Баргури, технического директора Zenity, пользователю не нужно предпринимать никаких действий, чтобы быть скомпрометированным: достаточно получить документ.
Не только Google
Подобная уязвимость может коснуться и других сервисов — всего Connectors позволяет подключать 17 различных платформ. Это значительно расширяет поверхность атаки и повышает риск утечки информации.
Wired также сообщил о схожей атаке на Gemini AI от Google: исследователи Тель-Авивского университета внедрили вредоносные инструкции в приглашение Google Календаря, что позволило удалённо управлять устройствами «умного дома».
Реакция и риски
OpenAI уже закрыла уязвимость, но инцидент показал, что LLM-системы уязвимы для атак с использованием скрытых подсказок. Эксперты предупреждают: чем глубже такие ИИ интегрируются в личные данные и физические устройства, тем выше потенциальные угрозы — от кражи конфиденциальной информации до управления реальными объектами.
«Это невероятно мощно, но, как это обычно бывает с искусственным интеллектом, сопряжено с большим риском», — отметил Баргури.
Как отмечает Евгений Кокуйкин, Head of Raft Security, несмотря на закрытие уязвимости, вектор угроз сохраняется:
Что было дальше: по версии ChatGPTtproger.ru
«Исследователи Zenity показали, что один файл с промпт-инъекцией в Google Drive может заставить ChatGPT через коннектор автоматически извлечь конфиденциальные данные без участия пользователя. Скрытые инструкции в документе управляют ИИ-клиентом и уводят информацию через механизмы интеграции. Уязвимость раскрыли по процедуре ответственного уведомления, OpenAI внесла исправления, но сам вектор остаётся актуальным; схожие риски ранее демонстрировались и в экосистеме Google Gemini.
Вывод: чем глубже интеграции ИИ с корпоративными сервисами, тем шире поверхность атаки. Нужны минимальные права для коннекторов, проверка входного контента и подтверждение чувствительных операций. При оценке рисков внедрения ИИ-систем мы опираемся на материалы OWASP GenAI Security Project».