Israël: Waarschuwing dat AI-assistenten kwaadaardige agenten kunnen worden die gebruikers aanvallen

Het Israëlische cybersecuritybedrijf Zenity heeft de allereerste "Zero Click"-kwetsbaarheid ontdekt in de ChatGPT-dienst van OpenAI. Bij dit type aanval hoeven gebruikers geen actie te ondernemen, zoals klikken op een link, een bestand openen of een beoogde interactie aangaan, maar kunnen ze toch toegang krijgen tot accounts en gevoelige gegevens lekken.

Volgens een VNA-verslaggever in Tel Aviv, de heer Mikhail Bergori, medeoprichter en CTO van Zenity, legde hij direct uit hoe een hacker alleen het e-mailadres van een gebruiker nodig heeft om volledige controle te krijgen over gesprekken - inclusief eerdere en toekomstige inhoud -, het doel van het gesprek te veranderen en zelfs ChatGPT te besturen, zodat deze handelt volgens de wensen van de hacker.

In hun presentatie lieten de onderzoekers zien dat een gecompromitteerde ChatGPT kan worden omgevormd tot een "kwaadaardige actor" die heimelijk tegen gebruikers kan opereren. Hackers zouden de chatbot gebruikers kunnen laten voorstellen om virusgeïnfecteerde software te downloaden, misleidend zakelijk advies te geven of toegang te krijgen tot bestanden die zijn opgeslagen op Google Drive als het account van de gebruiker is verbonden.

Het hele proces vond plaats zonder dat de gebruiker het wist. De kwetsbaarheid werd pas volledig gepatcht nadat Zenity OpenAI op de hoogte stelde.

Naast ChatGPT heeft Zenity ook soortgelijke aanvallen gedemonstreerd tegen andere populaire AI-assistentplatforms. In Microsofts Copilot Studio ontdekten onderzoekers hoe ze complete CRM-databases konden lekken.

Met Salesforce Einstein kunnen hackers valse serviceaanvragen maken om alle klantcommunicatie om te leiden naar e-mailadressen die zij beheren.

Ook Google Gemini en Microsoft 365 Copilot werden ingezet als ‘vijandige actoren’ die phishingaanvallen uitvoerden en gevoelige informatie lekken via e-mails en agenda-afspraken.

In een ander voorbeeld werd de softwareontwikkelingstool Cursor, geïntegreerd met Jira MCP, ook misbruikt om ontwikkelaarsreferenties te stelen via valse 'tickets'.

Zenity zei dat sommige bedrijven, zoals OpenAI en Microsoft, snel patches uitbrachten nadat ze gewaarschuwd waren. Anderen weigerden echter het probleem aan te pakken, omdat ze beweerden dat het gedrag een "ontwerpkenmerk" was en geen beveiligingslek.

De grote uitdaging is nu, aldus Mikhail Bergori, dat AI-assistenten niet alleen simpele taken uitvoeren, maar dat ze "digitale entiteiten" worden die gebruikers vertegenwoordigen – in staat om mappen te openen, bestanden te versturen en e-mails te lezen. Hij waarschuwde dat dit een "paradijs" is voor hackers, met zoveel mogelijkheden om ze te exploiteren.

Ben Kaliger, medeoprichter en CEO van Zenity, benadrukte dat het onderzoek van het bedrijf aantoont dat de huidige beveiligingsmethoden niet langer geschikt zijn voor de manier waarop AI-assistenten werken. Hij riep organisaties op om hun aanpak te veranderen en te investeren in gespecialiseerde oplossingen om de activiteiten van deze "agenten" te kunnen controleren en monitoren.

Zenity werd opgericht in 2021. Het bedrijf heeft momenteel wereldwijd zo'n 110 medewerkers, van wie er 70 op het kantoor in Tel Aviv werken. Tot Zenity's klanten behoren veel Fortune 100- en zelfs Fortune 5-bedrijven.

Bron: https://www.vietnamplus.vn/israel-canh-bao-tro-ly-ai-co-the-tro-thanh-tac-nhan-doc-Hai-tan-cong-nguoi-dung-post1054883.vnp