Дослідник безпеки Еіто Міямура показав, як хакер може використовувати шкідливе запрошення в Google Календар, щоб змусити ChatGPT розкривати особисті листи користувача.

Як Міямура розповів в X, зловмисник створює подію з вбудованими інструкціями і чекає, поки жертва попросить асистента виконати якусь дію. ChatGPT читає запрошення і може отримати доступ до Gmail, включно з приватними листами. За словами Міямури, для атаки достатньо знати лише адресу електронної пошти жертви.

Йдеться про функцію ChatGPT, яка дає змогу підключати Gmail і Google Календар безпосередньо. Це потрібно, щоб асистент міг автоматично відповідати на запитання на кшталт «Що у мене сьогодні в календарі?» без додаткових дій.

Саме ця автоматизація і створює ризик — якщо ChatGPT дозволено читати вміст календаря, зловмисник може вставити туди шкідливі інструкції, так звану indirect prompt injection, коли асистент слідує прихованим командам у дозволених даних.

OpenAI попереджає, що цю функцію можна відключити в налаштуваннях, щоб ChatGPT не використовував дані з календаря і пошти автоматично. Додатково Міямура радить дотримуватися заходів безпеки на стороні Google: дозволяти додавання подій тільки від знайомих контактів і приховувати відхилені запрошення.

Експерти зазначають, що атака не зламує ChatGPT або Gmail безпосередньо. Проблема в тому, що інструмент, який може працювати із зовнішніми джерелами, стає вразливим для прихованих інструкцій у цих джерелах.

Источник: unian.ua