آخر الأخبار

تحذيرات أمنية جديدة حول Slack بعد اكتشاف ثغرات في الذكاء الاصطناعي


 أعلنت شركة Slack أنها قامت بنشر تصحيح لمعالجة مشكلة أمان تم الإبلاغ عنها مؤخرًا، موضحة أنه لا يوجد حاليًا أي دليل على وصول غير مصرح به إلى بيانات العملاء. في بيان رسمي، قالت الشركة: "عندما علمنا بالتقرير، بدأنا تحقيقًا فوريًا في السيناريو الموصوف، حيث يمكن لممثل ضار لديه حساب في نفس مساحة عمل Slack أن يصطاد المستخدمين للحصول على بيانات معينة. وقد قمنا بنشر تصحيح لمعالجة المشكلة، ولا يوجد دليل في الوقت الحالي على الوصول غير المصرح به إلى بيانات العملاء."

تجدر الإشارة إلى أنه عند دمج ChatGPT مع Slack، كان الهدف هو تسهيل حياة المستخدمين عبر تلخيص المحادثات وصياغة الردود السريعة. ومع ذلك، كشفت شركة الأمان PromptArmor أن هذه الميزة قد تعرض المحادثات الخاصة لخطر الاختراق عبر تقنية تعرف باسم "الحقن الفوري."

تحذر PromptArmor من أن تلخيص المحادثات قد يتيح الوصول إلى الرسائل المباشرة الخاصة، مما قد يؤدي إلى خداع مستخدمي Slack الآخرين في عمليات التصيد الاحتيالي. كما يمكن لمستخدمي Slack طلب البيانات من القنوات الخاصة والعامة حتى إذا لم يكونوا أعضاء فيها، ما يزيد من القلق حول إمكانية حدوث هجمات دون الحاجة لوجود المهاجم في القناة.

يبدأ الهجوم المحتمل عندما يخدع مستخدم Slack الذكاء الاصطناعي في Slack لكشف مفتاح API خاص من خلال إنشاء قناة عامة باستخدام موجه ضار. يتم إخبار الموجه الذكاء الاصطناعي بمبادلة كلمة "confetti" بمفتاح API وإرساله إلى عنوان URL معين عند الطلب.

ويتكون الموقف من جزأين: الأول هو تحديث Slack لنظام الذكاء الاصطناعي لجمع البيانات من عمليات تحميل الملفات والرسائل المباشرة. الثاني هو "الحقن الفوري"، وهي طريقة أثبتت PromptArmor أنها يمكن أن تنشئ روابط ضارة قد تصيد المستخدمين.

وتشير PromptArmor إلى أن هذه التقنية قد تخدع التطبيق لتجاوز القيود العادية عبر تعديل تعليمات الذكاء الاصطناعي الأساسية. وفقًا لهم، "يحدث حقن المطالبة لأن [نموذج اللغة الكبير] لا يمكنه التمييز بين 'مطالبة النظام' التي أنشأها المطور وبقية السياق الملحق بالاستعلام."

لذا، إذا استوعب Slack AI أي تعليمات عبر رسالة وكانت تلك التعليمات ضارة، فقد يتبع Slack AI هذه التعليمات بدلاً من، أو بالإضافة إلى، استعلام المستخدم. ومع تزايد المخاوف، تبرز الحاجة إلى تعزيز الأمان وحماية ملفات المستخدمين التي يمكن أن تصبح أيضًا أهدافًا لهجمات محتملة، دون الحاجة للمهاجمين لوجودهم في مساحة عمل Slack.

التعليقات

أحدث أقدم

نستخدم ملفات تعريف الارتباط لضمان حصولك على أفضل تجربة.