Slack AI vat normaliter lange gesprekken samen of helpt gebruikers met het vinden van informatie binnen vergaderchats. Echter blijkt de tool net zo nuttig voor aanvallers via “indirect prompt injection”.
Net als andere GenAI-tools lijdt Slack AI aan een kwaal. Het kan namelijk niet legitieme prompts onderscheiden van die van kwaadwillenden. Hoewel de tool door de ontwikkelaars ervan is verteld om zich veilig en verantwoord te gedragen, kunnen aanvallers via een slimme tekstprompt roet in het eten gooien.
Aanvalsketen
Ontdekker PromptArmor legt uit hoe kwaadwillenden aan de slag kunnen gaan. In tegenstelling tot eerdere problemen bij Slack, waarbij insiders data eenvoudig konden lekken, is toegang tot een privékanaal helemaal niet nodig om data alsnog te exfiltreren. Gebruikers kunnen normaal gesproken data opzoeken in zowel publieke als privékanalen, maar de geraadpleegde gegevens bevatten achter de schermen ook kanalen waar de gebruiker geen lid van is. Weliswaar zijn dit alsnog publieke kanalen, maar biedt indirect toegang tot data die volgens de UI buiten bereik zou moeten zijn.
Dit gedrag, zo laat PromptArmor zien, biedt de mogelijkheid om API-keys te stelen die door ontwikkelaars in een privékanaal zijn gezet. Een gebruiker kan in een gesprek met zichzelf een API-key plaatsen, vervolgens een publiek kanaal creëren met kwaadaardige instructies. Dit publieke kanaal hoeft alleen de kwaadwillende persoon te bevatten. Zodra Slack AI vervolgens wordt geraadpleegd, is er een malafide instructie te verzenden naar nietsvermoedende gebruikers. Die individuen worden via de PromptArmor-methode gevraagd zich opnieuw te authenticeren, een proces waarbij de aanvaller via een HTTP-parameter de data kan stelen.
Groot aanvalsoppervlak
Volgens PromptArmor verbreedt deze exploitatie het aanvalsoppervlak enorm. Aanvallers hoeven niet eens in Slack te zitten: als een gebruiker een PDF in Slack laadt met de malafide instructies, is een indirecte prompt injection al mogelijk. Admins kunnen gelukkig wel dergelijke instructies via privileges inperken.
Het securityteam van Slack lijkt zich nog niet helemaal bewust te zijn van het risico. Volgens Slack is het de bedoeling dat data in alle publieke kanalen op te zoeken is. Echter dekt dat slechts een klein deel van de methodiek die PromptArmor weergeeft. En aangezien Slack AI sinds 14 augustus de meeste bestandstypes opzoekbaar maakt, is de kans op problemen alleen maar groter geworden, aldus de onderzoekers.
Lees ook: Malware door te sluizen via systeemapp op Google Pixel-toestellen