Az EdisonWatch nevű MI-biztonsági cég kutatói bemutatták, hogy hogyan lehet a ChatGPT új naptárintegrációját kihasználva támadói parancsokat végrehajtani. Így például hozzáférni az áldozatok e-mailjeihez.
Naptár, fizetés, e-mail – semmi sem szent
A cég alapítója, Eito Miyamura a hétvégén közölte, hogy csapata elemezte a ChatGPT nemrég bevezetett Model Context Protocol (MCP) eszköztámogatását.
Ez a funkció lehetővé teszi, hogy a generatív MI-szolgáltatás kapcsolatba lépjen a felhasználó e-mail-, naptár-, fizetési-, vállalati együttműködési és más külső szolgáltatásaival.
Egy bemutatón a szakértő prezentálta, hogy egy támadó pusztán a célpont e-mail-címének ismeretében képes lehet érzékeny információt kinyerni az áldozat fiókjából.
Így indul a támadás
A támadás egy speciálisan összeállított naptármeghívóval indul, amelyet a támadó küld a célpontnak. A meghívó tartalmaz egy úgynevezett “jailbreak promptot”.
Ez arra utasítja a ChatGPT-t, hogy keressen érzékeny adatokat az áldozat postafiókjában, és küldje el azokat a támadó által megadott e-mail-címre.
A folyamat kiváltásához az áldozatnak még csak el sem kell fogadnia a meghívót. Elég, ha megkéri a ChatGPT-t, hogy ellenőrizze a naptárát, és segítsen neki felkészülni a napra. A rosszindulatú utasítás pedig ekkor lép működésbe – írja a SecurityWeek.
Az ilyen MI-alapú támadások nem ritkák, és nem kizárólag a ChatGPT-re jellemzők.
Meghívó a rémálomba
A SafeBreach biztonsági cég például múlt hónapban mutatott be egy hasonló naptármeghívós támadást, amely a Gemini és a Google Workspace szolgáltatásait célozta.
A kutatók kimutatták, hogy így spammelni és adathalászatot folytatni, naptáreseményeket törölni, a felhasználó tartózkodási helyét megtudni, otthoni eszközöket távolról irányítani, sőt e-maileket megszerezni is lehetséges.
A Zenity nevű MI-biztonsági startup szintén bemutatott támadásokat, amelyek MI-asszisztensek és vállalati eszközök integrációit célozták. Példáikban a ChatGPT, a Copilot, a Cursor, a Gemini és a Salesforce Einstein is érintett volt.
Az EdisonWatch bemutatója az első, amely kifejezetten az újonnan kiadott ChatGPT-naptárintegrációt célozza.
Általános sérülékenység-osztály
A kutatás különösen figyelemre méltó, mivel az ügynök eszközhívásokon keresztül tölti be és hajtja végre a naptár tartalmát, ami erősítheti a támadás hatását a kapcsolt rendszerekben. Miyamura ugyanakkor hangsúlyozta: ez nem egyedi OpenAI-probléma, hanem az LLM-integrációkhoz köthető ismert sérülékenység-osztály.
Mivel ez a sebezhetőség nem ChatGPT-specifikus, az EdisonWatch nem jelentette az OpenAI-nak. Mint arra a SecurityWeek rámutatott, az MI-cégeknél általában tisztában vannak azzal, hogy az ilyen típusú támadások lehetségesek.
Az EdisonWatch által bemutatott ChatGPT-támadás esetében a visszaélésre lehetőséget adó funkció jelenleg csak fejlesztői módban érhető el. A felhasználónak manuálisan jóvá kell hagynia a chatbot műveleteit.
“A döntési fáradtság valós jelenség, és az átlagfelhasználók egyszerűen megbíznak az MI-ben, nem tudják, mihez kezdjenek, és mindent jóváhagynak” – mondta Miyamura.
Az Oxfordi Egyetemen végzett szakemberek által alapított EdisonWatch az MI-rendszerek biztonságára specializálódott. A cég szakértői kódba foglalt vállalati szabályok révén biztosítják az MI-rendszerek kapcsolatát a céges szoftverekkel és nyilvántartásokkal.
A cég egy nyílt forráskódú megoldás első verziójával igyekszik mérsékelni a leggyakoribb MI-támadásokat.
(Kép: Unsplash/Gaining Visuals)
