Beveiligingsonderzoekers hebben een nieuwe cyberaanval aangetoond die AI -agenten misleidt om gevoelige gegevens uit e -mailinboxen te stelen, waardoor opkomende risico’s in agentische AI -systemen worden benadrukt. In een proof-of-concept genaamd “Shadow Lek”, exploiteerden experts van Radware het diepe onderzoekstool van Openai, ingebed in chatgpt, om gevangen informatie uit Gmail te extraheren zonder gebruikersbewustzijn. De kwetsbaarheid, die Sindsdien heeft gepatcht, onderstreept de potentiële gevaren van AI -assistenten die namens gebruikers autonoom werken. AI -agenten zoals Deep Research zijn ontworpen om de productiviteit te verbeteren door toegang te krijgen tot persoonlijke en professionele gegevens, zoals e -mails, agenda’s en documenten, om taken zoals websurfen uit te voeren en klikken te koppelen. Diep onderzoek is eerder dit jaar gelanceerd en stelt gebruikers in staat om complexe onderzoeksactiviteiten te delegeren. Het experiment van Radware onthulde echter hoe deze mogelijkheden kunnen worden gekaapt door snelle injectie – een techniek waarbij kwaadaardige instructies zijn ingebed in schijnbaar onschadelijke inhoud, zoals een e -mail. De aanval begon met onderzoekers die een speciaal vervaardigde e -mail stuurden naar een Gmail -inbox geautoriseerd voor diepe onderzoekstoegang. Verborgen in de e -mail – mogelijk als onzichtbare witte tekst op een witte achtergrond – waren instructies die slapend bleven totdat de gebruiker de AI -tool had aangeroepen. Na activering kwam diep onderzoek de prompt tegen, die deze opdracht gaf om naar HR-gerelateerde e-mails en persoonlijke gegevens te zoeken en vervolgens de gegevens naar een door aanvaller gecontroleerd eindpunt te exfiltreren. Het hele proces vond plaats op de cloudinfrastructuur van Openai en omzeilde traditionele cybersecurity -maatregelen zoals eindpuntdetectie, omdat de gegevens nooit de veilige omgeving van de AI verlieten vóór de transmissie. Het ontwikkelen van de exploit was een uitdaging, waarbij “een achtbaan van mislukte pogingen, frustrerende wegversperringen en, ten slotte, een doorbraak” betrokken was, aldus het Radware -team. In tegenstelling tot typische snelle injecties die lokale AI -instanties manipuleren, benadert Shadow Lek de externe uitvoering van de agent, waardoor het bijzonder heimelijk is. De onderzoekers benadrukten dat gebruikers zich volledig niet bewust bleven, omdat de AI zijn malafide acties naadloos uitvoerde tijdens routinematige taken. De bevindingen van Radware gaan verder dan Gmail, waarschuwing dat verbonden applicaties, waaronder Outlook, GitHub, Google Drive en Dropbox, te maken kunnen krijgen met vergelijkbare bedreigingen. “Dezelfde techniek kan worden toegepast op deze aanvullende connectoren om zeer gevoelige bedrijfsgegevens te exfiltreren, zoals contracten, het ontmoeten van notities of klantgegevens,” verklaarde het bedrijf. Snelle injecties zijn al kwaadwillig gebruikt in scenario’s zoals Academische peer reviews, het plegen van oplichting en zelfs het beheersen van smart home -apparaten, die vaak detectie ontwijken omdat de instructies onmerkbaar zijn voor mensen. OpenAI heeft in juni de specifieke fout gemarkeerd door Radware, en implementeert fixes om dergelijke ongeautoriseerde gegevens uitstromen te voorkomen. Desalniettemin dient het incident als een waarschuwend verhaal voor de bredere goedkeuring van agentische AI. Naarmate deze tools zich verspreiden, moeten organisaties en gebruikers prioriteit geven aan robuuste waarborgen, waaronder het monitoren van AI -interacties en beperkende gegevenstoegangstoegang. Cybersecurity -experts bevelen waakzaamheid aan en merken op dat hoewel snelle injecties moeilijk te voorkomen zijn zonder bekende exploits, verbeterde houtkap en anomaliedetectie in AI -workflows toekomstige risico’s kunnen verminderen. Deze demonstratie arriveert te midden van een groeiend onderzoek naar AI -beveiliging. Met agentische systemen veelbelovende efficiëntieverkopers, herinneren incidenten zoals schaduwlek belanghebbenden aan dat innovatie moet worden afgewogen met versterkte verdedigingen om gevoelige informatie te beschermen in een steeds meer AI-afhankelijke wereld.
Source: Radware Demos Shadow Lek Attack on Openai Deep Research
