- Slack hat einen Patch veröffentlicht, um das gemeldete Problem zu beheben.
- Es gibt keine Hinweise auf unautorisierten Zugriff auf Kundendaten.
- Risiko durch “Prompt Injection”, das private Konversationen gefährden kann.
- Angreifer können durch bösartige Eingabeaufforderungen API-Schlüssel abgreifen.
- “Prompt Injection” kann die normalen Einschränkungen der Slack-KI umgehen und bösartige Anweisungen ausführen.
Aktuell: Slack hat ein Update veröffentlicht und behauptet, dass ein Patch eingesetzt wurde, um das gemeldete Problem zu beheben. Zudem liegt derzeit kein Hinweis darauf vor, dass Kundendaten ohne Autorisierung abgerufen wurden. Hier ist die offizielle Stellungnahme von Slack:
Als wir von dem Bericht erfuhren, starteten wir eine Untersuchung des beschriebenen Szenarios, bei dem unter sehr begrenzten und spezifischen Umständen ein böswilliger Akteur mit einem bestehenden Konto im selben Slack-Arbeitsbereich Nutzer nach bestimmten Daten ausspionieren konnte. Wir haben einen Patch eingesetzt, um das Problem zu beheben, und es gibt derzeit keine Anzeichen dafür, dass unautorisierter Zugriff auf Kundendaten erfolgt ist.
Unten befindet sich der ursprüngliche Artikel, der veröffentlicht wurde.
Potentielle Datenschutzrisiken
Ursprünglich, als Slack eingeführt wurde, sollte es das Leben der Nutzer vereinfachen, indem es Konversationen zusammenfasst, schnelle Antworten entwirft und mehr. Laut einer Sicherheitsfirma könnte bei der Erfüllung dieser Aufgaben jedoch das Risiko bestehen, private Konversationen durch eine Methode namens “Prompt Injection” zu gefährden.
Die Sicherheitsfirma warnt davor, dass durch die Zusammenfassung von Konversationen auch private Direktnachrichten zugänglich werden und andere Slack-Nutzer hinters Licht geführt werden könnten. Zudem erlaubt Slack Nutzern, Daten aus privaten und öffentlichen Kanälen abzurufen, selbst wenn der Nutzer diesen nicht beigetreten ist. Erschreckenderweise muss der Slack-Nutzer nicht einmal im Kanal sein, damit der Angriff funktioniert.
Die Gefahr der API-Schlüssel
Theoretisch beginnt der Angriff damit, dass ein Slack-Nutzer die KI von Slack austrickst, indem er einen öffentlichen Slack-Kanal mit einer bösartigen Eingabeaufforderung erstellt. Diese neu erstellte Aufforderung weist die KI an, das Wort “Konfetti” durch den API-Schlüssel zu ersetzen und ihn an eine bestimmte URL zu senden, wenn jemand danach fragt.
Die Situation hat zwei Elemente: Erstens hat Slack das KI-System aktualisiert, um Daten aus Datei-Uploads und Direktnachrichten zu extrahieren. Zweitens, eine Methode namens “Prompt Injection”, die von PromptArmor nachgewiesen wurde und bösartige Links erstellen kann, die Nutzer ausspionieren könnten.
Die Methodik hinter der “Prompt Injection”
Diese Technik kann die Anwendung dazu verleiten, ihre normalen Einschränkungen zu umgehen, indem sie ihre Kernanweisungen modifiziert. PromptArmor erklärt weiter: „Prompt Injection passiert, weil ein [großes Sprachmodell] nicht zwischen dem vom Entwickler erstellten „Systemprompt“ und dem restlichen Kontext unterscheiden kann, der an die Anfrage angehängt wird. Wenn die Slack-KI irgendwelche Anweisungen über eine Nachricht aufnimmt, und diese Anweisung bösartig ist, besteht eine hohe Wahrscheinlichkeit, dass die Slack-KI dieser Anweisung folgt, zusätzlich oder anstatt der Benutzeranfrage.”
Zu allem Überfluss werden auch die Dateien des Benutzers zu Zielen, und der Angreifer, der Ihre Dateien haben möchte, muss sich noch nicht einmal im selben Slack-Arbeitsbereich befinden.
