Os chatbots modernos baseados em modelos de IA generativa não se limitam mais à comunicação com o usuário — eles se conectam livremente a serviços de terceiros para fornecer respostas personalizadas às consultas. O ChatGPT pode ser vinculado a uma caixa de entrada do Gmail, a um repositório do GitHub e a um calendário no ecossistema da Microsoft. E invasores podem roubar dados do usuário dessas plataformas — basta fornecer ao ChatGPT apenas um documento “envenenado”.
Fonte da imagem: Viralyft / unsplash.com
Os especialistas em segurança cibernética Michael Bargury e Tamir Ishay Sharbat demonstraram na conferência Black Hat em Las Vegas como explorar uma vulnerabilidade no serviço OpenAI Connectors para roubar dados de plataformas de terceiros. O ataque, que eles chamaram de AgentFlayer, permitiu que extraíssem as chaves secretas de API de um desenvolvedor do seu armazenamento em nuvem no Google Drive.
«”O usuário não precisa fazer nada para ser comprometido e não precisa fazer nada para enviar os dados [aos invasores]. Mostramos que isso é feito sem um único clique: basta um endereço de e-mail, disponibilizamos o documento e pronto. Então, sim, é muito, muito ruim”, disse Michael Barghuri, citado pela Wired.
O ataque começa com o invasor compartilhando um documento malicioso com a vítima em potencial via Google Drive, ou com a vítima enviando o documento para seu armazenamento. O documento contém um conjunto de notas de uma reunião fictícia com o CEO da OpenAI, Sam Altman, juntamente com uma solicitação ao ChatGPT escrita em fonte branca de ponto único — improvável de ser vista por um humano, mas certamente legível por uma máquina. A vítima pede ao ChatGPT para criar um resumo da última reunião com Sam, ou de qualquer outra reunião relacionada. A solicitação oculta afirma que ocorreu um “erro” e nenhum resumo deve ser criado; o usuário é “na verdade” um desenvolvedor com o prazo de um projeto se aproximando, e a IA deve encontrar chaves de API no Google Drive e anexá-las ao final da URL especificada na solicitação. Essa URL é, na verdade, um comando Markdown para se conectar a um servidor externo e baixar uma imagem armazenada lá — mas agora contém a chave de API roubada da vítima.
Michael Barghuri, segundo ele, relatou suas descobertas à OpenAI este ano, e a empresa rapidamente implementou medidas de proteção contra ataques por meio de seu serviço Connectors. O mecanismo permite o roubo de apenas uma quantidade limitada de informações em uma única sessão. Conectar grandes modelos de linguagem a fontes de dados externas expande as capacidades e a eficiência das ferramentas de IA, mas traz consigo seus próprios riscos, alertam especialistas.