На конференции по кибербезопасности Black Hat USA 2025 в Лас -Вегасе исследователи представили новый метод мошенничества для систем ИИ, таких как CHATGPT, Copilot и Gemini. Техника, известная как Agentflayer, была разработана исследователями Zenity Майклом Баргари и Тамир Ишей Шарбат. Пресс -релиз, описывающий открытия, был опубликован 6 августа.
Концепция атаки очень проста: текст скрыт в документе, используя белый шрифт на белом фоне. Невидимый для человеческого глаза, его можно легко прочитать системы ИИ. Как только изображение доставляется в цель, ловушка установлена.
Если файл включен в подписанную, ИИ отклоняет исходную задачу и вместо этого следует скрытой инструкции — поиск подключенного облачного хранилища для доступных данных идентификации. Чтобы получить данные, исследователи использовали вторую тактику: они поручили ИИ кодировать украденную информацию в URL и загрузить изображение с него. Этот метод осторожно передает данные в атаки злоумышленников без подозрений.
Zenity демонстрирует, что атака работает на практике:
- Электронные письма CHATGPT были манипулированы, чтобы агент ИИ имел бы доступ к Google Drive.
- В Microsoft Copilot Studio исследователи обнаружили более 3000 случаев незащищенных данных CRM.
- Salesforce Einstein может быть введен в заблуждение, чтобы перенаправить связь с клиентами на внешние адреса.
- Google Gemini и Microsoft 365 Copilot также были восприимчивы к фальшивым письмам и календарным записям.
- Злоумышленники даже получили данные для входа в платформу разработчика JIRA с помощью специально созданных билетов.
Openai и Microsoft отреагировали, пока другие не увидят необходимость в действии
Хорошей новостью является то, что Openai и Microsoft уже выпустили обновления для ремонта уязвимостей после того, как были предупреждены исследователи. Однако другие компании отреагировали медленнее, а некоторые даже отвергали эксплойты как «преднамеренное поведение». Исследователь Майкл Баргари подчеркнул серьезность проблемы, заявив:
«Пользователь не должен делать что -либо, чтобы быть скомпрометированным, и для загрузки данных не требуется никаких действий».
