Кібербезпекова компанія Radware виявила раніше невідому уразливість бездочкового типу (zero-click) на платформі ChatGPT від OpenAI. Це став перший випадок серверної атаки такого роду, що спрямована безпосередньо на штучні інтелектуальні агенти.
Вразливість, названа ShadowLeak, зачіпає Deep Research агент ChatGPT і надає зловмисникам можливість автономно виводити конфіденційну інформацію користувачів із серверів OpenAI — без необхідності, щоб користувач натискав, відкривав або навіть переглядав будь-який контент. За даними Radware, цей експлойт працює непомітно, не залишаючи слідів на мережах чи пристроях, що становить серйозну загрозу для підприємств, які дедалі активніше впроваджують сервіси штучного інтелекту.
Компанія Radware передала інформацію про уразливість OpenAI у червні, дотримуючись відповідних протоколів відповідального розкриття вразливостей. OpenAI підтвердила усунення проблеми до 3 вересня.
Головний технічний директор Radware Девід Авів відзначив: «Це ідеальний приклад атаки zero-click. Жодних дій від користувача не потрібно, немає помітних ознак, і жертви не можуть усвідомити, що їхні дані були скомпрометовані. Всі процеси відбуваються повністю поза увагою користувача».
Експериментальне підтвердження експлойту провів Security Research Center Radware (RSRC), де вчені продемонстрували, що шкідливий електронний лист, надісланий користувачу, може автоматично активувати Deep Research агента ChatGPT у хмарі OpenAI, що призводить до несанкціонованого доступу та витоку конфіденційних даних без жодної взаємодії з боку користувача.
За словами Габі Накіблі, одного з провідних дослідників, які відкрили цю вразливість, разом зі своїми колегами Звікою Бабо та Маором Узіелем: «Це перша суто серверна zero-click атака, коли штучний інтелект автономно здійснює витік інформації».
На відміну від традиційних атак zero-click, які націлені на кінцеві пристрої або мобільні девайси, ShadowLeak функціонує у хмарній інфраструктурі штучного інтелекту, обходячи всі захисти на рівні користувача і мережі. Внаслідок цього атака не залишає жодних слідів, які могли б бути виявлені експертами з кібербезпеки підприємств.
Паскаль Гіненс, директор з кіберрозвідки компанії Radware, наголосив: «Рobоти зі штучним інтелектом впроваджуються надзвичайно швидко, та водночас ця технологія породжує нові загрози, на які не можуть адекватно реагувати традиційні засоби захисту. Наші дослідження показують, що агентів ШІ можна маніпулювати способами, які раніше не брали до уваги».
Виявлення цієї уразливості відбулося на тлі зростаючого використання ChatGPT у корпоративному середовищі. У інтерв’ю CNBC у серпні віце-президент OpenAI з питань продукту Нік Турлі повідомив, що платформою користується 5 мільйонів платних бізнес-клієнтів, що підкреслює потенційну масштабність можливих ризиків.
Radware анонсувала проведення вебінару 16 жовтня, на якому детально обговорюватиметься вразливість ShadowLeak та надаватимуться рекомендації для фахівців із безпеки і розробників штучного інтелекту щодо захисту агентів ШІ від аналогічних загроз.
У своїй заяві Radware висловила подяку OpenAI за оперативну співпрацю та підкреслила важливість превентивних досліджень безпеки у сфері штучного інтелекту. Технічний опис і деталі експлойту ShadowLeak доступні через Security Research Center компанії.
Крім того, RSRC Radware регулярно проводить симуляції загроз і виявляє нульові доби (zero-day) та бездочкові уразливості, що впливають як на традиційні, так і на платформи, засновані на штучному інтелекті.
