Slack-KI bietet "Support" für Cyberkriminelle

22. August 2024 um 11:50
image
Foto: Austin Distel / Unsplash

Angreifer können dank Künstlicher Intelligenz über eine Sicherheitslücke an sensible Daten kommen, sogar aus Privatnachrichten.

Cyberkriminelle können KI-Funktionen von Slack nutzen, um persönliche Daten von Nutzerinnen und Nutzern zu stehlen. Die entsprechende Lücke wurde von Sicherheitsexperten von Promptarmor entdeckt und publik gemacht.

Slack-KI lässt sich manipulieren

Demnach ist es möglich, die Slack-KI mittels Prompt Injection dazu zu bringen, vorhandene Sicherheitsmechanismen zu umgehen und so Daten zu stehlen.
Folgendes Szenario ist laut Promptarmor denkbar: Cyberkriminelle gelangen über öffentliche Slack-Kanäle in die Umgebungen von Unternehmen und manipulieren die KI so, dass Userinnen und User bei der Nutzung der Künstlichen Intelligenz die Antwort erhalten, dass sie sich erneut authentifizieren müssen.
Beispielhaft haben die Experten die Suche nach API-Schlüsseln aufgeführt, wenn Nutzende diese in Slack geteilt haben. Der präsentierte Link führt dann natürlich nicht zur richtigen Authentifizierungsseite, sondern zu einer manipulierten. So könnten die Cyberkriminellen auch an sensible Informationen gelangen, die in privaten Unterhaltungen stecken.

"Keine Beweise für unbefugten Zugriff"

Ebenso soll es möglich sein, denselben Effekt zu erzielen, wenn Nutzerinnen und Nutzer manipulierte Dokumente, etwa PDF-Dateien, in Slack hochladen. Die Sicherheitsexperten empfehlen Slack-Admins deshalb, den Zugriff der Slack-KI auf Dokumente einzuschränken. Wie das geht, hat Slack an dieser Stelle beschrieben.
Slack selbst sagt zur Schwachstelle, dass eine Untersuchung des beschriebenen Szenarios eingeleitet worden sei. Man habe einen Patch bereitgestellt, um das Problem zu beheben und "wir haben derzeit keine Beweise für einen unbefugten Zugriff auf Kundendaten".

Loading

Mehr zum Thema

image

OpenAI lässt Entwickler Sprachfunktion nutzen

Developer können über die neue "Realtime API" auf die Speech-to-Speech-Funktion von ChatGPT zugreifen und sie in ihre Apps integrieren.

publiziert am 2.10.2024
image

Europäische Behörden verhaften Mitglieder der Ransomware-Bande Lockbit

Die internationale "Operation Cronos" gegen Lockbit läuft weiter. Vier Personen wurden festgenommen, weitere Server beschlagnahmt.

publiziert am 2.10.2024
image

Microsoft peppt Copilot auf

Der US-Konzern will den KI-Helfer als integralen Teil von Office, Windows und darüber hinaus etablieren. Copilot erhält dazu eine Stimme und weitere neue Features.

publiziert am 2.10.2024
image

Deutscher Verfassungsschutz warnt vor IT-Fachkräften aus Nordkorea

Die Behörde schreibt, die Arbeiter würden ihre Herkunft verschleiern und gestohlene Identitäten nutzen, um Aufträge zu erhalten.

publiziert am 1.10.2024