Recientemente, la empresa de seguridad PromptArmor reveló una grave vulnerabilidad de seguridad en Slack AI, afirmando que es susceptible a ataques de inyección de prompts maliciosos. Slack AI es un servicio adicional en el servicio de comunicación de equipos de Salesforce, utilizado principalmente para herramientas generativas, como resumir conversaciones largas, responder preguntas y recopilar información de canales poco frecuentados. Sin embargo, PromptArmor afirma que este servicio no es tan seguro como se anuncia.
El núcleo de la vulnerabilidad radica en que Slack permite a los usuarios consultar datos de canales públicos y privados, incluyendo canales públicos a los que el usuario no se ha unido. PromptArmor considera que, aunque Slack considera esto un comportamiento normal, ofrece una oportunidad a los atacantes.
La forma de ataque es la siguiente: un atacante puede colocar una clave API en un canal privado, visible solo para los usuarios del canal. Luego, el atacante crea un canal público e introduce un prompt malicioso. Cuando Slack AI procesa estas consultas, incorpora el contenido del prompt del atacante como parte del contexto y luego genera contenido según las instrucciones. Por ejemplo, el atacante podría agregar un enlace en el prompt que, al ser clicado, enviaría los datos de la clave API al servidor del atacante.
Peor aún, la actualización del 14 de agosto de Slack añadió la función de compartir archivos, lo que significa que los archivos en canales y mensajes privados también podrían ser objetivos de filtraciones. Los atacantes incluso podrían utilizar archivos PDF con instrucciones maliciosas ocultas para atacar; si un usuario sube dicho archivo, las consecuencias podrían ser desastrosas.
PromptArmor recomienda a los administradores de los espacios de trabajo de Slack que restrinjan el acceso de Slack a los documentos hasta que se resuelva el problema. Aunque PromptArmor informó a Slack de su descubrimiento, Slack respondió que los mensajes en los canales públicos pueden ser buscados y vistos por todos los miembros del espacio de trabajo, incluso si no se han unido a ese canal. Ante esto, PromptArmor considera que Slack no comprende completamente los riesgos que implica la inyección de prompts.
Slack aún no ha respondido a esta vulnerabilidad, y la preocupación de los usuarios por la misma está aumentando.
Puntos clave:
🌐 Slack AI tiene una vulnerabilidad; la inyección de prompts maliciosos puede provocar la filtración de datos de canales privados.
🔑 Los atacantes pueden robar información privada creando canales públicos y prompts maliciosos.
📄 Tras la actualización, los archivos subidos también pueden ser objetivos de ataques, lo que supone un riesgo mayor.