Slack AI曝存在数据泄露漏洞:恶意提示词注入可窃取私密频道信息
发布时间:2024-08-22 10:00:22
技术QQ导航
23浏览
最近,安全公司 PromptArmor 曝光了 Slack AI 的一个严重安全漏洞,称其容易受到恶意提示注入攻击。Slack AI 是 Salesforce 团队通讯服务中的一个附加服务,主要用于生成性工具,比如总结长对话、回答问题和汇总不常访问的频道信息。然而,PromptArmor 表示,这个服务并不像它宣称的那样安全。
漏洞的核心在于,Slack 允许用户查询公共和私密频道的数据,包括用户未加入的公共频道。PromptArmor 认为,虽然 Slack 方面认为这是正常行为却给了攻击可乘之机。
具体的攻击方式是这样的:攻击者可以在某个私密频道中放置一个 API 密钥,而该密钥仅对频道内的用户可见。随后,攻击者创建一个公共频道,并输入一个恶意的提示。当 Slack AI 处理这些查询时,AI 会把攻击者的提示内容作为上下文的一部分引入来,然后按照指令生成内容。例如,攻击者可能会在提示中添加一个链接,点击后就会把 API 密钥数据发送到攻击者的服务器上。
更为糟糕的是,Slack 在8月14日的更新中添加了文件共享功能,意味着用户在频道和私信中的文件也可能成为泄露目标。攻击者甚至可以利用带有隐藏恶意指令的 PDF 文件进行攻击,用户一旦上传该文件,后果不堪设想。
PromptArmor 建议 Slack 的工作区管理员应当限制 Slack 对文档的访问,直到问题解决为止。尽管 PromptArmor 已将其发现告知 Slack,Slack 却表示,公开频道中的消息可以被工作区的所有成员搜索和查看,即使他们没有加入该频道。对此,PromptArmor 认为 Slack 对提示注入所带来的风险理解不足。
Slack 目前尚未对此漏洞做出回应,用户们漏洞的担忧也在增加。
其它推荐
- 浦发逢8立减最低0.01元撸实物 09/28
- 小红书人格测试抽茶百道免单券 09/03
- 交行领取30减5亓话费满减券 08/07
- 地下城与勇士手游领绿钻月卡 09/28
- 阿里云盘惊现p0 Bug故障,创建相册可以看到他人照片 09/15
- 京东云星盾SCDN故障了 09/05
- 饿了么七夕礼0.01撸实物包邮 08/10
- 浦发金秋嘉年华抽1~6亓红包 09/29