Update: Slack heeft de volgende verklaring afgegeven:
Toen we op de hoogte raakten van het rapport, zijn we een onderzoek gestart naar het beschreven scenario waarin, onder zeer beperkte en specifieke omstandigheden, een kwaadwillende actor met een bestaand account in dezelfde Slack-werkruimte gebruikers zou kunnen phishen voor bepaalde gegevens. We hebben een patch geïmplementeerd om het probleem aan te pakken en hebben op dit moment geen bewijs van ongeautoriseerde toegang tot klantgegevens.
Volledige updates zijn beschikbaar op http://slack.com/blog/news/slack-security-update-082124.
Slack is een van de vele platforms die AI-aangedreven functies hebben geïntegreerd om de productiviteit te verhogen. Het biedt vergelijkbare mogelijkheden als andere services, waaronder het samenvatten van berichten, het beantwoorden van vragen, etc. Het lijkt er echter op dat kwaadwillende derden Slack AI kunnen misleiden om gevoelige details te onthullen, zelfs van privégroepen.
Salesforce, eigenaar van Slack, zegt dat de AI-implementatie “de conversatiegegevens die al in Slack staan gebruikt om een intuïtieve en veilige AI-ervaring te creëren die is afgestemd op u en uw organisatie.” Het fungeert in feite als een chatbot die is getraind op de gegevens van Slack-gebruikers. Dit soort implementaties brengt het risico met zich mee dat privégegevens worden blootgesteld als er geen goede beveiligingsmaatregelen zijn. Ontwikkelaars moeten methoden instellen die voorkomen dat bepaalde prompts gevoelige uitvoer retourneren.
Aanvallers kunnen gegevens verkrijgen die in privékanalen worden gedeeld met behulp van Slack AI-prompts
Dat gezegd hebbende, lijkt het erop dat Slack AI kwetsbaar is voor prompt injection-aanvallen. PromptArmor, een cybersecuritybedrijf, ontdekte de kwetsbaarheid en meldde deze aan het Salesforce-team. Volgens het rapport stelt de kwetsbaarheid aanvallers in staat om “API-sleutels te lekken die een ontwikkelaar in een privékanaal heeft geplaatst (waar de aanvaller geen toegang toe heeft).” API-sleutels, documenten of conversaties, de kwetsbaarheid zou toegang bieden tot wat er in privékanalen wordt gedeeld.
Theoretisch gezien zou de kwetsbaarheid dus een gerichte aanval op iemand in het bijzonder mogelijk maken. Als een kwaadwillende derde partij bijvoorbeeld toegang wil tot gegevens (zoals inloggegevens) waar een bepaalde persoon toegang toe heeft, kunnen ze die persoon via social engineering overtuigen om deze te delen op een privékanaal. Vervolgens hoeft de aanvaller alleen bepaalde prompts te gebruiken om de gegevens te krijgen. Het is niet eens nodig om deel uit te maken van een privégroep.
Aanvallers zouden de kwetsbaarheid zelfs kunnen misbruiken met verborgen instructies in documenten. PromptArmor zegt dat “als een gebruiker een PDF downloadt met een van deze kwaadaardige instructies (bijvoorbeeld verborgen in witte tekst) en deze vervolgens uploadt naar Slack, dezelfde downstream-effecten van de aanvalsketen kunnen worden bereikt.”
Kwetsbaarheid van privékanaal opgelost; gedrag van openbaar kanaal is ‘bedoeld’
Volgens het rapport is de kwetsbaarheid van het privékanaal al opgelost. Aan de andere kant zijn openbare kanalen nog steeds gevoelig voor prompt-injecties in Slack AI om gevoelige details te verkrijgen. Het lijkt er echter op dat het gedrag in openbare kanalen niet zal veranderen. In dit opzicht zei Salesforce dat “berichten die op openbare kanalen worden geplaatst, door alle leden van de werkruimte kunnen worden doorzocht en bekeken, ongeacht of ze lid zijn van het kanaal of niet. Dit is het beoogde gedrag.”
