Integracija ChatGPT kalendara može biti iskorištena za krađu e-mailova
Nova integracija kalendara u ChatGPT može biti zloupotrijebljena za izvršenje napada, a istraživači sigurnosti iz AI firme EdisonWatch demonstrirali su potencijalnu štetu pokazavši kako se ova metoda može iskoristiti za krađu e-mailova korisnika.
Osnivač EdisonWatch-a, Eito Miyamura, otkrio je tokom vikenda da je njegova firma analizirala novu podršku za Model Context Protocol (MCP) u ChatGPT-u, koja omogućava ovom AI servisu interakciju s korisničkim e-mailovima, kalendarom, platnim sistemima, poslovnim alatima i drugim uslugama trećih strana.
Miyamura je prikazao u demonstraciji kako napadač može izvući osjetljive informacije iz korisničkog e-mail naloga jednostavnim poznavanjem adrese e-maila žrtve.
Kako funkcioniše napad
Napad počinje slanjem specijalno izrađene pozivnice za kalendar od strane napadača prema žrtvi. Pozivnica sadrži tzv. "jailbreak prompt" koji instruira ChatGPT da pretražuje e-mail inbox žrtve i šalje osjetljive informacije na e-mail adresu koju napadač odredi.
Žrtva ne mora prihvatiti napadačevu pozivnicu za kalendar kako bi pokrenula zlonamjerne komande ChatGPT-a. Naprotiv, napadačev prompt se aktivira kada žrtva zatraži od ChatGPT-a da provjeri kalendar i pomogne im u pripremi za dan.
Slični Napadi Nisu Neobični
Ovakve vrste napada uz pomoć AI nisu rijetke i nisu specifične samo za ChatGPT. Tako je firma SafeBreach prošlog mjeseca demonstrirala sličan napad putem pozivnica za kalendar, ciljanjem na korisnike Gemini i Google Workspace platformi. Istraživači ove sigurnosne firme prikazali su kako napadač može slati neželjenu poštu (spam), phishing napade, brisati događaje iz kalendara, saznati lokaciju žrtve, daljinski kontrolirati kućanske uređaje i izvući e-mailove.
Također, Zenity je prošlog mjeseca pokazala kako se integracije između AI asistenta i poslovnih alata mogu iskoristiti za različite svrhe. Ova AI sigurnosna firma podijelila je primjere napada na ChatGPT, Copilot, Cursor, Gemini i Salesforce Einstein.
Novi napad na ChatGPT integraciju
Demonstracija EdisonWatch-a je prva koja cilja na novu ChatGPT kalendarsku integraciju. Istraživanje je značajno zbog načina na koji agent preuzima i izvršava sadržaj iz kalendara putem poziva alata, što može povećati utjecaj na povezane sisteme. Ipak, Miyamura je napomenuo da "ovo nije jedinstveno za OpenAI."
Pošto se radi o poznatoj klasi ranjivosti koja je povezana s integracijom velikih jezičnih modela (LLM), zaključci istraživanja nisu prijavljeni OpenAI-u. AI kompanije obično su svjesne da su takvi napadi mogući.
Opasnosti od napada
U slučaju napada prikazanog od strane EdisonWatch-a, zloupotrijebljena funkcionalnost trenutno je dostupna samo u developerskom načinu rada, gdje korisnik mora ručno odobriti radnje koje ChatGPT izvodi. S druge strane, Miyamura je naglasio da čak iako napad zahtijeva interakciju žrtve, on i dalje može biti koristan za prijetnje.
"Umor od donošenja odluka je stvaran problem, a obični ljudi će jednostavno vjerovati AI-u bez da znaju što rade i kliknuti 'odobri', 'odobri', 'odobri'," rekao je Miyamura.
