Aktualisieren: Slack hat sich mit der folgenden Erklärung gemeldet:
Als wir von dem Bericht erfuhren, leiteten wir eine Untersuchung des beschriebenen Szenarios ein, in dem unter sehr begrenzten und spezifischen Umständen ein böswilliger Akteur mit einem bestehenden Konto im selben Slack-Arbeitsbereich Benutzer nach bestimmten Daten durchsuchen konnte. Wir haben einen Patch bereitgestellt, um das Problem zu beheben, und haben derzeit keine Beweise für einen unbefugten Zugriff auf Kundendaten.
Vollständige Updates sind unter http://slack.com/blog/news/slack-security-update-082124 verfügbar.
Slack ist eine von vielen Plattformen, die KI-gestützte Funktionen zur Produktivitätssteigerung integriert haben. Es bietet ähnliche Funktionen wie andere Dienste, darunter das Zusammenfassen von Nachrichten, das Beantworten von Fragen usw. Es scheint jedoch, dass böswillige Dritte die KI von Slack dazu bringen könnten, vertrauliche Details preiszugeben, sogar von privaten Gruppen.
Salesforce, Eigentümer von Slack, sagt, dass seine KI-Implementierung „die bereits in Slack vorhandenen Konversationsdaten nutzt, um ein intuitives und sicheres KI-Erlebnis zu schaffen, das auf Sie und Ihr Unternehmen zugeschnitten ist.“ Es fungiert im Grunde als Chatbot, der mit den Daten von Slack-Benutzern trainiert wurde. Diese Art von Implementierungen birgt das Risiko, private Daten preiszugeben, wenn keine geeigneten Sicherheitsmaßnahmen getroffen werden. Entwickler müssen Methoden festlegen, die verhindern, dass bestimmte Eingabeaufforderungen vertrauliche Ausgaben zurückgeben.
Angreifer könnten mithilfe von Slack-KI-Eingabeaufforderungen Daten in privaten Kanälen teilen
Allerdings scheint Slack AI anfällig für Prompt-Injection-Angriffe zu sein. PromptArmor, ein Cybersicherheitsunternehmen, hat die Schwachstelle gefunden und sie dem Salesforce-Team gemeldet. Dem Bericht zufolge ermöglicht die Schwachstelle Angreifern, „API-Schlüssel zu leaken, die ein Entwickler in einen privaten Kanal gestellt hat (auf den der Angreifer keinen Zugriff hat).“ Ob API-Schlüssel, Dokumente oder Unterhaltungen – die Schwachstelle würde Zugriff auf das bieten, was in privaten Kanälen geteilt wird.
Theoretisch würde die Schwachstelle also einen gezielten Angriff auf eine bestimmte Person ermöglichen. Wenn beispielsweise ein böswilliger Dritter auf Daten (wie Anmeldeinformationen) zugreifen möchte, auf die eine bestimmte Person Zugriff hat, könnte er diese Person durch Social Engineering davon überzeugen, diese Daten auf einem privaten Kanal freizugeben. Dann müsste der Angreifer nur bestimmte Eingabeaufforderungen verwenden, um an die Daten zu gelangen. Es ist nicht einmal erforderlich, Teil einer privaten Gruppe zu sein.
Angreifer könnten die Schwachstelle sogar mit versteckten Anweisungen in Dokumenten ausnutzen. PromptArmor sagt: „Wenn ein Benutzer ein PDF herunterlädt, das eine dieser bösartigen Anweisungen enthält (z. B. in weißem Text versteckt) und es anschließend auf Slack hochlädt, können die gleichen nachgelagerten Effekte der Angriffskette erzielt werden.“
Sicherheitslücke im privaten Kanal angeblich behoben; Verhalten im öffentlichen Kanal ist „beabsichtigt“
Dem Bericht zufolge wurde die Sicherheitslücke im privaten Kanal bereits behoben. Öffentliche Kanäle hingegen neigen immer noch dazu, Injektionen in die Slack-KI zu veranlassen, um an vertrauliche Informationen zu gelangen. Es scheint jedoch, dass sich das Verhalten in öffentlichen Kanälen nicht ändern wird. In diesem Zusammenhang sagte Salesforce, dass „Nachrichten, die in öffentlichen Kanälen gepostet werden, von allen Mitgliedern des Arbeitsbereichs gesucht und angezeigt werden können, unabhängig davon, ob sie dem Kanal beigetreten sind oder nicht. Dies ist beabsichtigtes Verhalten.“
