Kradzież danych za pomocą niewidzialnego tekstu: Jak łatwo oszukać ChatGPT i inne narzędzia AI

Podczas konferencji bezpieczeństwa Black Hat USA 2025 w Las Vegas naukowcy zaprezentowali nową metodę oszukiwania systemów sztucznej inteligencji, takich jak ChatGPT, Microsoft Copilot i Google Gemini. Technika ta, znana jako AgentFlayer, została opracowana przez badaczy Zenity, Michaela Bargury'ego i Tamira Ishaya Sharbata. Komunikat prasowy https://www.prnewswire.com/news-releases/zenity-labs-exposes-widespread-agentflayer-vulnerabilities-allowing-silent-hijacking-of-major-enterprise-ai-agents-circumventing-human-oversight-302523580.html przedstawiający wyniki badań został opublikowany 6 sierpnia.

Koncepcja ataku jest zwodniczo prosta: tekst jest ukryty w dokumencie przy użyciu białej czcionki na białym tle. Niewidoczny dla ludzkiego oka, może być łatwo odczytany przez systemy sztucznej inteligencji. Po dostarczeniu obrazu do celu zastawiana jest pułapka. Jeśli plik zostanie dołączony do monitu, sztuczna inteligencja odrzuca pierwotne zadanie i zamiast tego postępuje zgodnie z ukrytą instrukcją - przeszukuje połączoną pamięć masową w chmurze w celu uzyskania poświadczeń dostępu.

Aby eksfiltrować dane, naukowcy zastosowali drugą taktykę: poinstruowali sztuczną inteligencję, aby zakodowała skradzione informacje w adresie URL i załadowała z niego obraz. Metoda ta dyskretnie przenosi dane na serwery atakujących bez wzbudzania podejrzeń.

Zenity zademonstrowało, że atak działa w praktyce:

• W ChatGPT e-maile zostały zmanipulowane tak, że agent AI uzyskał dostęp do Dysku Google.
• W Copilot Studio Microsoftu badacze odkryli ponad 3000 przypadków niezabezpieczonych danych CRM.
• Salesforce Einstein mógł zostać oszukany w celu przekierowania komunikacji z klientami na adresy zewnętrzne.
• Google Gemini i Microsoft 365 Copilot również były podatne na fałszywe wiadomości e-mail i wpisy w kalendarzu.
• Atakujący uzyskali nawet dane logowania do platformy deweloperskiej Jira za pośrednictwem spreparowanych zgłoszeń.

OpenAI i Microsoft reagują, podczas gdy inni nie widzą potrzeby działania

Dobrą wiadomością jest to, że OpenAI i Microsoft wydały już aktualizacje w celu załatania luk w zabezpieczeniach po otrzymaniu ostrzeżenia od badaczy. Inni dostawcy działali jednak wolniej, a niektórzy nawet odrzucali exploity jako "zamierzone zachowanie" Badacz Michael Bargury podkreślił powagę problemu, stwierdzając: "Użytkownik nie musi nic robić, aby zostać narażonym na niebezpieczeństwo, a do wycieku danych nie jest wymagane żadne działanie"