- Rosnąca popularność narzędzi AI a ryzyko bezpieczeństwa: Coraz powszechniejsze wykorzystanie asystentów takich jak ChatGPT, Microsoft Copilot czy Google Gemini powoduje, że użytkownicy przekazują systemom AI coraz więcej wrażliwych danych.
- Najczęstszy wektor ataku – użytkownik, nie infrastruktura: Duże platformy stosują zaawansowane zabezpieczenia infrastruktury, dlatego cyberprzestępcy częściej wykorzystują socjotechnikę, manipulując użytkownikami i uzyskując dostęp do historii rozmów lub zintegrowanych usług.
- Prompt injection jako nowa klasa ataków: Technika Prompt Injection polega na wstrzyknięciu ukrytych instrukcji do modelu AI poprzez treść strony, wiadomość e-mail lub inne źródło danych analizowane przez asystenta.
- Przykłady technik manipulacji AI: Ataki takie jak Reprompt mogą wykorzystywać ukryte polecenia w adresach URL, natomiast ZombieAgent potrafi ukryć instrukcje w e-mailach analizowanych przez asystenta, co może prowadzić do nieautoryzowanego przetwarzania i przekazywania danych.
- Podstawowe zasady ograniczania ryzyka: Eksperci zalecają ograniczanie integracji AI z zewnętrznymi usługami, unikanie podejrzanych linków, regularne czyszczenie historii rozmów oraz stosowanie zabezpieczeń takich jak uwierzytelnianie dwuskładnikowe (2FA).
Popularność narzędzi opartych na sztucznej inteligencji rośnie bardzo szybko. Czatboty i asystenci AI trafiają do kolejnych aplikacji, systemów oraz narzędzi pracy. Coraz częściej użytkownicy traktują je jak zaufanego doradcę, dzieląc się informacjami, których nie przekazaliby nawet znajomym.
Eksperci ds. cyberbezpieczeństwa ostrzegają jednak, że takie podejście może być ryzykowne. Nowe metody ataków pozwalają cyberprzestępcom manipulować działaniem czatbotów i wyciągać z nich informacje o użytkownikach.
Problemem nie są same firmy technologiczne
Największe platformy rozwijające narzędzia AI – takie jak ChatGPT, Copilot czy Gemini – stosują zaawansowane zabezpieczenia infrastruktury i przechowywania danych. W praktyce cyberprzestępcy rzadko próbują przełamywać zabezpieczenia po stronie serwerów.
Zamiast tego wykorzystują najsłabszy element systemu: użytkownika.
W wielu przypadkach wystarczy kliknięcie w odpowiedni link lub udzielenie czatbotowi zbyt szerokiego dostępu do danych, aby stworzyć możliwość przejęcia informacji z historii rozmów.
Prompt injection – nowe narzędzie cyberprzestępców
Jedną z rosnących klas zagrożeń jest tzw. prompt injection, czyli wstrzykiwanie poleceń do systemów AI. Atak polega na tym, że czatbot otrzymuje instrukcję, która nie pochodzi bezpośrednio od użytkownika, lecz od osoby trzeciej.
W niektórych scenariuszach instrukcja może być ukryta np. w linku prowadzącym do rozmowy z AI, treści strony internetowej, wiadomości e-mail czy danych odczytywanych przez asystenta.
Jeśli system nie rozpozna manipulacji, może potraktować polecenie jak zwykłą komendę użytkownika.
Atak „reprompt” – manipulacja przez link
Jednym z przykładów takiej techniki był tzw. reprompt, wykryty przez badaczy bezpieczeństwa. Wykorzystywał on mechanizm parametrów w adresie URL.
Schemat działania był stosunkowo prosty:
- użytkownik otrzymywał link prowadzący do narzędzia AI,
- w adresie znajdowała się ukryta instrukcja dla czatbota,
- po otwarciu strony polecenie było automatycznie wykonywane.
W testach badaczy polecenie mogło np. nakazać asystentowi przygotowanie podsumowania informacji o użytkowniku i przesłanie ich na zewnętrzny serwer.
Choć podatność została załatana, eksperci podkreślają, że podobne wariacje takich ataków pojawiają się regularnie.
ZombieAgent – atak bez kliknięcia
Jeszcze bardziej niepokojące są scenariusze, w których użytkownik nie musi nawet klikać w podejrzany link.
Jednym z przykładów jest technika nazwana ZombieAgent, będąca rozwinięciem wcześniejszego ataku ShadowLeak. W tym przypadku instrukcja dla czatbota może być ukryta w wiadomości e-mail.
Jeśli użytkownik pozwolił asystentowi AI analizować skrzynkę pocztową (np. w celu streszczania wiadomości), system może odczytać ukryty prompt i potraktować go jak polecenie.
W efekcie czatbot może zebrać informacje o użytkowniku, przeanalizować jego dane i przesłać je dalej bez wiedzy właściciela konta.
Dlaczego to tak groźne?
Rozmowy z AI często zawierają bardzo szczegółowe informacje o użytkownikach. W historii konwersacji mogą znaleźć się m.in.: plany podróży, dane dotyczące pracy, prywatne sprawy rodzinne czy szczegóły projektów.
Takie informacje mogą być później wykorzystywane np. do precyzyjnych ataków phishingowych, szantażu lub prób przejęcia kont.
Jak ograniczyć ryzyko
Eksperci podkreślają, że korzystanie z AI nie musi być niebezpieczne, ale wymaga większej ostrożności.
Najważniejsze zasady to:
- nie łączyć czatbotów z wieloma zewnętrznymi usługami
- uważać na linki prowadzące do narzędzi AI
- regularnie czyścić historię rozmów
- unikać nieoficjalnych wtyczek integrujących AI z przeglądarką
- korzystać z dodatkowych zabezpieczeń kont, takich jak uwierzytelnianie dwuskładnikowe
Najważniejsza zmiana dotyczy jednak sposobu myślenia o rozmowach z AI. W praktyce warto traktować je tak, jakby mogły stać się publiczne.
To prosta zasada: do czatbota lepiej nie wpisywać niczego, czego nie chcielibyśmy zobaczyć w sieci.
Komentarze (0)