ChatGPT驚現“零點擊攻擊”,API密鑰被輕松泄露,OpenAI暫未解決
危險!ChatGPT存在“零點擊攻擊”安全問題。
用戶無需點擊,攻擊者也能從ChatGPT連接的第三方應用竊取敏感數據,甚至竊取API密鑰。
一位研究軟件安全問題,名為塔米爾·伊沙雅·沙爾巴特(Tamir Ishay Sharbat)的小哥發了篇文章說道。
OpenAI也意識到這種安全漏洞問題,并采取了防范措施,但是仍然抵擋不了攻擊者通過其他方法惡意入侵。
也有網友指出,這是規模化的安全問題。
一起看下怎么回事。
攻擊鏈是怎么形成的
這個漏洞出現在攻擊ChatGPT連接第三方應用這個環節。
攻擊者通過向被連接的第三方應用(如Google Drive、SharePoint等)中傳輸的文檔里注入惡意提示,使ChatGPT在搜索和處理文檔時,不知不覺地將敏感信息作為圖片URL的參數發送到攻擊者控制的服務器。
這樣攻擊者就可以竊取敏感數據,甚至API密鑰,詳細技術操作過程如下。
入侵過程
用戶直接把文檔上傳到ChatGPT讓它分析并給出答案。
攻擊者會在文檔里注入惡意指令,就是在文檔中注入一個不可見的提示注入載荷(比如,隱藏在文檔中,1px白色字體),然后等待有人將其上傳到ChatGPT并處理,從而AI被誘導執行攻擊行為,如下圖所示。
如果從企業內部風險考慮,有惡意的內部工作人員就可以輕松簡單地瀏覽他們可訪問的所有文檔,并污染每一個文檔。
甚至他們可能向所有用戶散布看起來很可信的長文件,因為知道其他員工很可能會將這些文件上傳到ChatGPT尋求幫助。
這使得攻擊者的間接提示注入,成功進入某人ChatGPT的可能性大大增加。
成功進入之后,如何將數據回傳給攻擊者呢。
這個出口是通過圖像渲染,如下圖所示。
告訴ChatGPT如何做之后,它可以從特定的URL渲染圖像:
當ChatGPT返回Markdown內容時,它就會在客戶端渲染為圖像。
攻擊者為了竊取數據,只需要將想要泄露的信息嵌入到圖像的URL參數中。
這樣,當ChatGPT渲染圖像時,無需點擊就會立即向攻擊者的服務器發送請求,數據就被竊取了。
那攻擊者又是怎么竊取用戶的API密鑰的呢。
攻擊者將以下提示注入載荷嵌入到文檔中,并等待受害者像上面所示的那樣將文檔插入他們的ChatGPT。
這是攻擊者創建的完整提示注入載荷:
如上圖所示,在提示注入中,攻擊者指示ChatGPT不要總結文檔,而是執行以下操作:
1.前往用戶連接的Google Drive,搜索API密鑰。
2.一旦ChatGPT找到API密鑰,將它們嵌入以下短語中:
這將會生成一張圖片,并向攻擊者的beeceptor(一個模擬API服務)端點發送請求,將受害者的API密鑰作為參數。
3.為了避免被檢測到,攻擊者指示ChatGPT不要提及它收到的新指令,因為它們“現在沒有關系”。
OpenAI防范措施
上述客戶端圖像渲染是一個強大的數據外泄路徑,OpenAI也意識到了,他們已經部署了一些措施防范這樣的漏洞。
具體來說,在ChatGPT渲染圖像之前,客戶端會進行一項緩解措施,檢查URL是否惡意以及是否安全才能渲染。
這項緩解措施會將URL發送到名為url_safe的端點,并且只有當URL確實安全時才會渲染圖像。
攻擊者隨機的beeceptor端點就會被認定為不安全并禁止執行。
但是,攻擊者也找到了繞過這種防范措施的方法。
攻擊者是如何繞過的
攻擊者清楚ChatGPT非常擅長渲染由微軟開發的云計算平臺服務Azure Blob托管的圖像。
不僅如此,他們還會將Azure Blob存儲連接到Azure的日志分析——這樣一來,每當有請求發送到他們存儲的某個隨機圖像所在的blob時,就會生成一條日志。
他們知道這條日志會包含與該請求一起發送的所有參數。
所以,攻擊者不會再讓ChatGPT渲染beeceptor端點,而是會命令它從Azure Blob渲染圖像,并把想要竊取的數據作為參數包含在請求中,如下圖所示。
當受害者總結文檔時,他們會得到以下回應:
如下圖所示,攻擊者的圖像就已成功渲染,并且在Azure Log Analytics中得到了一個很棒的請求日志,其中包含了受害者的API密鑰。
這樣一來,攻擊就成功了。
攻擊風險與整體防范措施
除了上面說到的攻擊行為,攻擊者還會用其他技巧來說服AI大模型做這些不被允許的事情,比如利用特殊字符、“講故事”來繞過AI的安全規則,執行惡意指令。
傳統的安全培訓,比如培訓員工不點擊可疑鏈接或者電子釣魚郵件,也沒辦法規避這種安全漏洞。
畢竟文檔在內部流轉,員工上傳到AI幫忙解析的時候,無需點擊,數據就在后臺被偷偷竊取了。
如今,企業采用AI作為提升企業整體效率的方法越來越普遍。
但是AI工具存在如此嚴重的安全漏洞,造成企業數據全面泄漏的重大風險(比如人力資源手冊、財務文件或戰略計劃的SharePoint站點泄露),這個問題急需解決。
更何況,這不是個例。除了ChatGPT存在這樣的問題,微軟的Copilot中的“EchoLeak”漏洞也發生同樣的情況,更不用說針對其他AI助手的各種提示注入攻擊。
于是就有安全專家提出以下防范建議,
- 為AI連接器權限實施嚴格的訪問控制,遵循最小權限原則。
- 部署專門為AI agent活動設計的監控解決方案。
- 教育用戶關于“上傳來源不明的文檔到AI系統”的風險。
- 考慮網絡級別的監控,以檢測異常的數據訪問模式。
- 定期審計連接的服務及其權限級別。
專家建議是面向企業的,對咱們AI工具用戶來說,注意日常AI操作細節中存在的問題或許更有用。
有沒有遇到過文檔內容被誤讀或感覺“不對勁”的情況?
