Ernstige kwetsbaarheid op ChatGPT en een reeks AI-assistenten: gebruikers worden opgelicht, informatie lekt...

Het Israëlische cybersecuritybedrijf Zenity heeft de eerste "Zero Click"-kwetsbaarheid ontdekt in de ChatGPT-service van OpenAI.

Bij dit type aanval hoeven gebruikers geen actie te ondernemen, zoals klikken op een link, een bestand openen of een andere bewuste interactie, maar kunnen ze toch toegang krijgen tot accounts en gevoelige gegevens lekken.

Mikhail Bergori, medeoprichter en Chief Technology Officer van Zenity, liet met eigen ogen zien hoe een hacker met alleen het e-mailadres van een gebruiker volledige controle kan krijgen over gesprekken, inclusief eerdere en toekomstige inhoud. Hij kan het doel van het gesprek veranderen en zelfs ChatGPT manipuleren om te handelen volgens de wensen van de hacker.

In hun presentatie lieten de onderzoekers zien dat een gecompromitteerde ChatGPT kan worden omgevormd tot een "kwaadwillende actor" die heimelijk tegen gebruikers opereert. Hackers zouden ChatGPT gebruikers kunnen laten voorstellen om software met virussen te downloaden, misleidend zakelijk advies te geven of toegang te krijgen tot bestanden die zijn opgeslagen op Google Drive als het account van de gebruiker is verbonden. Dit alles gebeurt zonder medeweten van de gebruiker.

De kwetsbaarheid werd pas volledig gedicht nadat Zenity OpenAI op de hoogte stelde.

Naast ChatGPT heeft Zenity ook soortgelijke aanvallen gedemonstreerd tegen andere populaire AI-assistentplatforms. In Microsofts Copilot Studio ontdekten onderzoekers hoe ze complete CRM-databases konden lekken.

Met Salesforce Einstein kunnen hackers valse serviceaanvragen maken om alle klantcommunicatie om te leiden naar e-mailadressen die zij beheren.

Ook Google Gemini en Microsoft 365 Copilot werden ingezet als 'vijandige partijen'. Ze voerden phishingaanvallen uit en lekken vertrouwelijke informatie via e-mails en agenda-afspraken.

In een ander voorbeeld werd de softwareontwikkelingstool Cursor, geïntegreerd met Jira MCP, ook misbruikt om ontwikkelaarsreferenties te stelen via valse 'tickets'.

Zenity zei dat sommige bedrijven, zoals OpenAI en Microsoft, snel patches uitbrachten nadat ze gewaarschuwd waren. Anderen weigerden echter het probleem aan te pakken, omdat ze beweerden dat het gedrag een "ontwerpkenmerk" was en geen beveiligingslek.

De grote uitdaging is nu, aldus Mikhail Bergori, dat AI-assistenten niet alleen simpele taken uitvoeren, maar dat ze "digitale entiteiten" worden die gebruikers vertegenwoordigen – in staat om mappen te openen, bestanden te versturen en e-mails te lezen. Hij waarschuwde dat dit een "paradijs" is voor hackers, met zoveel mogelijkheden om ze te exploiteren.

Ben Kaliger, medeoprichter en CEO van Zenity, zei dat het onderzoek van het bedrijf aantoont dat de huidige beveiligingsmethoden niet langer geschikt zijn voor de manier waarop AI-assistenten werken. Hij riep organisaties op hun aanpak te veranderen en te investeren in gespecialiseerde oplossingen om de activiteiten van deze 'agenten' te controleren en te monitoren.