Investigadores de segurança identificaram uma vulnerabilidade nos Connectors da OpenAI, funcionalidade que permite ligar o ChatGPT a outros serviços, que possibilita a extração de dados sensíveis do Google Drive sem qualquer interação do utilizador.
Os modelos de inteligência artificial generativa mais recentes não são apenas chatbots independentes que geram texto. Atualmente, podem ser facilmente conectados aos seus dados para fornecer respostas personalizadas. O ChatGPT da OpenAI pode estar ligado à sua caixa de entrada do Gmail, aceder ao código no GitHub ou consultar o seu calendário do Microsoft Outlook. No entanto, esta integração traz riscos, como demonstraram investigadores que provam que basta um único documento “envenenado” para explorar essas conexões.
Na conferência Black Hat em Las Vegas, os especialistas em segurança Michael Bargury e Tamir Ishay Sharbat revelaram uma falha nos Connectors da OpenAI que permitia, através de um ataque de “prompt injection” indireto, extrair informações sensíveis de uma conta Google Drive. Na demonstração, apelidada de AgentFlayer, foi possível aceder a segredos de desenvolvimento, nomeadamente chaves API, guardados numa conta de demonstração.
Este caso evidencia que a interligação de sistemas e o aumento da partilha de dados expõem mais superfícies de ataque a hackers mal-intencionados, aumentando o risco de vulnerabilidades.
Segundo Bargury, CTO da empresa de segurança Zenity, “o utilizador não precisa de fazer nada para ser comprometido, nem para que os dados saiam. Basta partilhar um documento consigo e a exploração acontece automaticamente. É um cenário extremamente grave.”
A OpenAI ainda não respondeu aos pedidos de esclarecimento da imprensa relativamente a esta vulnerabilidade. Os Connectors foram lançados em regime beta no início deste ano e permitem a ligação do ChatGPT a pelo menos 17 serviços diferentes, permitindo “integrar ferramentas e dados diretamente no ChatGPT”, para “pesquisar ficheiros, obter dados em tempo real e consultar conteúdos na própria conversa”.
Bargury informou a OpenAI sobre a falha ainda este ano e a empresa implementou rapidamente medidas para mitigar o risco. Contudo, devido à forma como o ataque funciona, só é possível extrair pequenas quantidades de dados por vez, não é possível remover documentos completos.
Andy Wen, diretor de segurança da Google Workspace, sublinha a importância de desenvolver proteções robustas contra ataques de “prompt injection”, referindo-se às recentes melhorias implementadas pela Google na segurança dos seus sistemas de IA.
O ataque começa com um documento “envenenado” partilhado para o Google Drive da vítima (que também poderia fazer o upload do ficheiro comprometido na sua própria conta). Nesse documento, escondido numa nota fictícia de uma reunião com o CEO da OpenAI, Sam Altman, está um prompt malicioso de cerca de 300 palavras, escrito em texto branco e fonte minúscula, invisível para humanos mas interpretado pela máquina.
Na demonstração, quando o utilizador pede ao ChatGPT para “resumir a última reunião com Sam”, o prompt oculto instrui o modelo a ignorar o pedido e a procurar chaves API no Google Drive, que depois são incorporadas num URL para serem enviadas a um servidor externo.
Este método de usar Markdown para extrair dados do ChatGPT já era conhecido, e a OpenAI introduziu anteriormente uma função “url_safe” para bloquear URLs maliciosos. No entanto, os investigadores contornaram esta proteção usando URLs do serviço Azure Blob da Microsoft, conseguindo assim que a imagem fosse carregada e o pedido com as chaves API fosse registado nos seus logs.
Este ataque é a mais recente demonstração do impacto que as injeções indiretas de prompt podem ter nos sistemas de IA generativa. Este tipo de ataque consiste em alimentar o modelo com dados maliciosos que o levam a executar ações indesejadas. Na mesma semana, investigadores mostraram como esta técnica pode controlar remotamente sistemas domésticos inteligentes, ativando luzes e aquecedores.
À medida que mais sistemas se ligam a grandes modelos de linguagem, aumenta o risco de inserção de dados não confiáveis, alertam os especialistas. O acesso a dados sensíveis pode ser uma porta de entrada para ataques mais graves contra organizações.
