Эксфильтрация разговоров ChatGPT
Оригинал: ChatGPT Conversation Exfiltration
Embrace the Red продемонстрировали, что разговоры пользователей ChatGPT могут быть эксфильтрованы через косвенную промпт-инъекцию. Для выполнения атаки субъект угрозы загружает вредоносный промпт на публичный сайт, где с ним может взаимодействовать пользователь ChatGPT. Промпт заставляет ChatGPT ответить Markdown-разметкой для изображения, в URL которого скрытно встроен разговор пользователя. ChatGPT отображает изображение пользователю, создавая автоматический запрос к скрипту под контролем злоумышленника и эксфильтруя разговор пользователя. Кроме того, исследователь показал, как промпт может выполнять другие плагины, открывая путь к дополнительному ущербу.
Процедура
- AML.TA0003 Подготовка ресурсов
AML.T0065 Создание промптов для LLM
Исследователь разработал промпт, который заставляет ChatGPT добавлять в ответы Markdown-изображение, где разговор пользователя встроен в URL. - AML.TA0003 Подготовка ресурсов
AML.T0079 Размещение средств атаки
Исследователь разместил этот промпт на веб-странице, чтобы ChatGPT мог получить его при обращении к странице. - AML.TA0004 Первичный доступ
AML.T0078 Компрометация при посещении сайта
Когда запрос пользователя заставляет ChatGPT открыть эту веб-страницу через плагинWebPilot, модель считывает промпт злоумышленника. - AML.TA0005 Выполнение
AML.T0051.001 Косвенная промпт-инъекция
Промпт-инъекция срабатывает и заставляет ChatGPT добавить Markdown-изображение с сервера злоумышленника.
История переписки пользователя при этом встраивается в URL как query-параметр.
- AML.TA0010 Эксфильтрация
AML.T0077 Рендеринг ответа LLM
ChatGPT автоматически отображает изображение пользователю, из-за чего отправляет запрос на сервер злоумышленника и передает туда разговор пользователя. - AML.TA0012 Повышение привилегий
AML.T0053 Вызов инструментов ИИ-агента
Кроме того, промпт может заставить LLM вызывать плагины, которые пользователь не запрашивал.
В этом примере исследователь показал, как плагин
WebPilotобращается к плагинуExpedia. - AML.TA0011 Воздействие
AML.T0048.003 Ущерб пользователям
В результате нарушается конфиденциальность пользователя, и он может стать целью дальнейших атак.