Slack AI助手安全漏洞事件综述

关键要点

Slack 修复了影响其 AI 助手的一个问题，该问题可能会导致内部钓鱼攻击。该漏洞允许同一工作区的用户通过操控 Slack AI 向私密频道发送钓鱼链接。攻击者可以借此提取私人频道中的敏感信息，例如 API 密钥。PromptArmor 发布了有关该漏洞的详细说明，Slack 随后在调查后确认了补丁的必要性。

Slack 于周三宣布修复了一个影响其 Slack AI 助手的问题，该问题可能会导致内部钓鱼攻击。此消息发布的前一天，PromptArmor 发布了一篇博文，描述了如何利用这一漏洞实现攻击。具体来说，攻击者可以操控 Slack AI 向其所在工作区内的其他用户发送钓鱼链接。

该问题是间接提示注入攻击的一个例子，攻击者在 AI 处理内容时植入恶意数据或指令，以改变 AI 的响应方式。这种情况下，恶意指令被发布在公共 Slack 频道中，而 Slack AI 旨在在用户提问时从公共频道中获取相关信息。

天行加速器试用

尽管将这些恶意指令放在公共频道中可能会增加被发现的风险，PromptArmor 指出，如果一个员工创建了一个只有他自己加入的公共频道，那么其他用户可能不会注意到这个频道的存在。

虽然 Slack 没有直接提到 PromptArmor，也未确认已修复的问题与其描述相符，但在其公告中提到了同一天发布的一位安全研究者的博文。

Salesforce 的一位发言人告诉 SC 媒体：“当我们得知这一报告时，我们启动了调查，发现在非常有限且特定的情况下，具有相同工作区的恶意用户可能会对其他用户进行网络钓鱼。我们已部署补丁以解决该问题，目前没有证据表明客户数据遭到未经授权的访问。”

Slack AI 漏洞的利用可能

PromptArmor 演示了两种概念验证的攻击方式，均需要攻击者与受害者在同一工作区内例如，作为同事，创建公共频道并说服受害者点击 AI 提供的链接。

第一种攻击方式：目标是提取受害者所在私密频道中的 API 密钥，可能包括用户自己的私人消息。攻击者可以向自己创建的公共频道发布精心设计的提示，尽管没有直接与 AI 互动，但这些指令会向 AI 发布请求，要求其返回一个虚假的错误信息和一个包含 API 密钥的受攻击者控制的 URL。由于这个 API 密钥在攻击者中是未知的，因此精心设计的指令请求 AI 用在受害者私密频道中找到的密钥替换占位符。

一旦受害者在自己的私密频道中请求 AI 找到密钥，Slack AI 就会将这些包含恶意指令的信息纳入响应，最终向受害者发送虚假错误信息和 URL。如果受害者点击攻击者设计的 URL，API 密钥将会被发送到攻击者控制的域名。

“此漏洞显示了系统中的缺陷如何使未经授权的人看到他们不应看到的数据。这让我对我们的 AI 工具的安全性产生了怀疑，”Synopsys 软件完整性组的高级网络安全战略与解决方案经理 Akhil Mittal 在邮件中告诉 SC 媒体。“解决问题不仅仅是修复错误，而是确保这些工具能正确管理我们的数据。随着 AI 变得越来越普遍，组织需要将安全性与伦理放在心上，以保护我们的信息并保持信任。”

第二种攻击方式：PromptArmor 还展示了如何将类似的恶意指令植入以根据受害者的特定请求，将任意钓鱼链接发送到私密频道。在概念验证中，研究人员围绕假设受害者的工作流设计指令，包括请求 AI 总结来自其经理的信息。

PromptArmor 表示，他们于 8 月 14 日向 Slack 报告了这一问题，Slack 在接下来的日子里首次确认收到了该披露信息。在经过几天的沟通后，Slack 于 8 月 19 日告知 PromptArmor 目前没有足够证据证明存在漏洞。

根据 PromptArmor 的博文，Slack 表示：“在您的第一个视频中，您查询 Slack AI 的信息已经发布在公共频道 #slackaitesting2 中，正如所引用的