Kürzlich enthüllte die Sicherheitsfirma PromptArmor eine schwerwiegende Sicherheitslücke in Slack AI, die anfällig für bösartige Prompt-Injection-Angriffe ist. Slack AI ist ein Zusatzdienst in Salesforce's Teamkommunikationsdienst und dient hauptsächlich als generatives Tool, z. B. zum Zusammenfassen langer Gespräche, Beantworten von Fragen und Zusammenfassen von Informationen aus selten besuchten Kanälen. PromptArmor behauptet jedoch, dass dieser Dienst nicht so sicher ist, wie behauptet wird.
Der Kern der Sicherheitslücke liegt darin, dass Slack Benutzern den Zugriff auf Daten aus öffentlichen und privaten Kanälen erlaubt, einschließlich öffentlicher Kanäle, denen der Benutzer nicht beigetreten ist. PromptArmor argumentiert, dass Slack dies zwar als normales Verhalten betrachtet, es aber Angreifern Möglichkeiten bietet.
Die Angriffsmethode sieht wie folgt aus: Ein Angreifer kann einen API-Schlüssel in einem privaten Kanal platzieren, der nur für die Benutzer des Kanals sichtbar ist. Anschließend erstellt der Angreifer einen öffentlichen Kanal und gibt einen bösartigen Prompt ein. Wenn Slack AI diese Abfragen verarbeitet, wird der Prompt des Angreifers als Teil des Kontextes einbezogen und der Inhalt entsprechend der Anweisung generiert. Beispielsweise könnte der Angreifer einen Link in den Prompt einfügen, der, wenn er angeklickt wird, die API-Schlüsseldaten an den Server des Angreifers sendet.
Schlimmer noch, Slack hat am 14. August mit einem Update die Dateifreigabefunktion hinzugefügt, was bedeutet, dass auch Dateien in Kanälen und privaten Nachrichten zum Ziel von Datenlecks werden können. Angreifer könnten sogar PDF-Dateien mit versteckten bösartigen Befehlen verwenden. Sobald ein Benutzer diese Datei hochlädt, sind die Folgen unabsehbar.
PromptArmor empfiehlt Slack-Workspace-Administratoren, den Zugriff von Slack auf Dokumente zu beschränken, bis das Problem behoben ist. Obwohl PromptArmor Slack über seine Entdeckung informiert hat, argumentiert Slack, dass Nachrichten in öffentlichen Kanälen von allen Mitgliedern des Workspace durchsucht und angezeigt werden können, selbst wenn sie dem Kanal nicht beigetreten sind. PromptArmor ist der Ansicht, dass Slack die Risiken durch Prompt-Injection nicht ausreichend versteht.
Slack hat bisher noch nicht auf diese Sicherheitslücke reagiert, und die Besorgnis der Benutzer über die Sicherheitslücke nimmt zu.
Wichtigste Punkte:
🌐 Slack AI weist eine Sicherheitslücke auf, durch die bösartige Prompts zum Datenleck aus privaten Kanälen führen können.
🔑 Angreifer können durch das Erstellen öffentlicher Kanäle und bösartiger Prompts private Informationen stehlen.
📄 Nach dem Update können auch hochgeladene Dateien zum Ziel von Angriffen werden, was ein größeres Risiko darstellt.