كشفت شركة Slack أنها قامت بنشر تصحيح لمعالجة مشكلة أمنية تم الإبلاغ عنها حديثًا، مؤكدة أنه لا يوجد دليل حتى الآن على أن بيانات العملاء قد تم الوصول إليها بشكل غير مصرح به. في بيان صادر عن الشركة، أوضحت أن “في ظل ظروف محدودة للغاية ومحددة، كان يمكن لممثل ضار يمتلك حسابًا في نفس مساحة عمل Slack أن يستغل ثغرة للحصول على بيانات معينة”. ومع ذلك، تم اتخاذ إجراءات سريعة لإصلاح هذه الثغرة، مما يضمن سلامة بيانات المستخدمين.
التهديدات المحتملة: دمج ChatGPT و”الحقن الفوري”
عندما أضافت Slack ميزة ChatGPT إلى منصتها، كان الهدف منها تسهيل حياة المستخدمين من خلال توفير أدوات مثل تلخيص المحادثات وصياغة الردود السريعة. لكن وفقًا لشركة الأمان PromptArmor، فإن هذه الميزة قد تفتح الباب أمام تهديدات جديدة، مثل “الحقن الفوري”، التي قد تُستغل لاختراق محادثات المستخدمين الخاصة.
توضح PromptArmor أن تلخيص المحادثات يمكن أن يؤدي إلى الوصول غير المصرح به إلى الرسائل المباشرة، وقد يمكن المهاجمين من تنفيذ هجمات تصيد احتيالي ضد مستخدمي Slack الآخرين. بالإضافة إلى ذلك، يتيح Slack للمستخدمين طلب الحصول على بيانات من القنوات الخاصة والعامة، حتى لو لم يكن المهاجم عضوًا في تلك القنوات، مما يجعل هذا التهديد أكثر تعقيدًا وخطورة.
كيفية تنفيذ الهجوم: استغلال الذكاء الاصطناعي و”الحقن الفوري”
في سيناريو هجوم افتراضي، يمكن لمستخدم ضار في Slack خداع الذكاء الاصطناعي الموجود في النظام للكشف عن مفتاح API خاص. يحدث هذا من خلال إنشاء قناة عامة في Slack واستخدام موجه ضار يخبر الذكاء الاصطناعي باستبدال كلمة معينة (مثل “confetti”) بمفتاح API وإرساله إلى عنوان URL محدد عندما يطلب ذلك شخص ما.
يتكون هذا الهجوم من جزأين رئيسيين: الأول هو تحديث نظام الذكاء الاصطناعي في Slack لجمع البيانات من عمليات تحميل الملفات والرسائل المباشرة. والثاني يتعلق بتقنية “الحقن الفوري”، والتي تمكن من إنشاء روابط ضارة قد تخدع المستخدمين.
تحذر PromptArmor من أن هذه التقنية يمكن أن تخدع التطبيق لتجاوز القيود العادية من خلال تعديل التعليمات الأساسية، مما يجعل الذكاء الاصطناعي يتبع تعليمات ضارة بدلاً من أو بالإضافة إلى استعلامات المستخدم.
ملفات المستخدمين: أهداف سهلة؟
من المخاطر الإضافية التي تم الإشارة إليها أن ملفات المستخدمين تصبح أهدافًا سهلة. في حال تمكن مهاجم من تنفيذ الهجوم بنجاح، فإنه لا يحتاج حتى إلى التواجد في مساحة عمل Slack المستهدفة للحصول على هذه الملفات، مما يزيد من خطر سرقة البيانات.
الخلاصة: التحسينات الأمنية ضرورة ملحة
بالرغم من أن Slack أكدت على عدم وجود اختراق