Recentemente, a empresa de segurança PromptArmor expôs uma grave vulnerabilidade de segurança no Slack AI, afirmando que ele é suscetível a ataques de injeção de prompt malicioso. O Slack AI é um serviço adicional no serviço de comunicação em equipe da Salesforce, usado principalmente para ferramentas generativas, como resumir conversas longas, responder a perguntas e agregar informações de canais pouco acessados. No entanto, a PromptArmor afirma que o serviço não é tão seguro quanto afirma.
O cerne da vulnerabilidade reside no fato de o Slack permitir que os usuários consultem dados de canais públicos e privados, incluindo canais públicos dos quais o usuário não participa. A PromptArmor argumenta que, embora o Slack considere isso um comportamento normal, isso oferece uma oportunidade para os atacantes.
A forma de ataque é a seguinte: um atacante pode colocar uma chave API em um canal privado, visível apenas para os usuários desse canal. Em seguida, o atacante cria um canal público e insere um prompt malicioso. Ao processar essas consultas, o Slack AI incorpora o conteúdo do prompt do atacante como parte do contexto e, em seguida, gera conteúdo de acordo com as instruções. Por exemplo, um atacante pode adicionar um link ao prompt que, ao ser clicado, enviará os dados da chave API para o servidor do atacante.
Pior ainda, a atualização do Slack em 14 de agosto adicionou a funcionalidade de compartilhamento de arquivos, o que significa que os arquivos nos canais e mensagens privadas também podem se tornar alvos de vazamento. Ataques podem até usar arquivos PDF com instruções maliciosas ocultas; se um usuário enviar esse arquivo, as consequências podem ser graves.
A PromptArmor recomenda que os administradores de workspace do Slack limitem o acesso do Slack a documentos até que o problema seja resolvido. Embora a PromptArmor tenha informado o Slack sobre sua descoberta, o Slack afirmou que as mensagens em canais públicos podem ser pesquisadas e visualizadas por todos os membros do workspace, mesmo que não façam parte do canal. Para isso, a PromptArmor acredita que o Slack não compreende totalmente os riscos de injeção de prompt.
O Slack ainda não respondeu a essa vulnerabilidade, e as preocupações dos usuários sobre a vulnerabilidade estão aumentando.
Destaques:
🌐 O Slack AI possui uma vulnerabilidade; a injeção de prompts maliciosos pode levar ao vazamento de dados de canais privados.
🔑 Os atacantes podem roubar informações privadas criando um canal público e um prompt malicioso.
📄 Após a atualização, os arquivos enviados também podem se tornar alvos de ataque, representando um risco ainda maior.