Израильская киберкомпания Zenity продемонстрировала на конференции Black Hat 2025, как можно взломать ChatGPT без каких-либо действий со стороны пользователя, получить контроль над аккаунтами и доступ к конфиденциальной информации. Ровно год спустя после того, как она показала, как можно использовать инструменты ИИ от Microsoft для проникновения в корпоративные файлы, компания раскрыла, что уровень безопасности в популярных ИИ-инструментах стал еще более уязвимым. Об этом 7 августа пишет Ynet.
На киберконференции, считающейся одной из ведущих в мире и недавно состоявшейся в США, сооснователь и технический директор компании Михаэль Баргури продемонстрировал, как исследователи Zenity смогли один за другим взломать самые распространенные инструменты искусственного интеллекта — прежде всего ChatGPT, возможно, самый популярный чат-бот и "лицо" AI-революции.
Самой тревожной демонстрацией стала атака типа "0 кликов" (Zero Click Attack) на ChatGPT — первый в мире взлом подобного рода. Это означает, что злоумышленник может захватить чат-бот, извлекать из него информацию и получать доступ к данным на компьютере пользователя без необходимости нажимать на ссылку или совершать какие-либо активные действия. Zenity показала, как та же атака может быть проведена и против других популярных систем, таких как Copilot Studio и Salesforce Einstein.
Для взлома ChatGPT злоумышленнику достаточно знать электронную почту пользователя — информацию, которую относительно легко получить. Баргури показал, что с момента начала атаки злоумышленник получает полный контроль над аккаунтом ChatGPT пользователя, включая текущие и будущие диалоги.
Полный контроль позволяет злоумышленнику:
• получать доступ к файлам в Google Drive пользователя,
• задавать новые цели и команды чат-боту,
• влиять на ответы ChatGPT — например, посоветовать установить вирус или дать вредные "деловые советы" с целью нанести ущерб бизнесу.
►Кто находится в зоне риска?
По заявлению компании, в зоне риска находятся все пользователи ChatGPT, подключенные к Google Drive. Zenity утверждает, что после сообщения о выявленных уязвимостях OpenAI и Microsoft выпустили обновления, устраняющие проблему. Однако другие поставщики отказались устранять уязвимости, заявив, что такое поведение является "предусмотренной функциональностью системы".
Так или иначе, атака основана на базовом принципе: если информация от злоумышленника может попасть к конкретному пользователю, то он может воспользоваться уязвимостями системы. В случае Zenity, слабое место было выявлено благодаря глубокому знанию архитектуры атакуемой системы, и пониманию того, как злоумышленник может ввести данные в "зону восприятия" ИИ-системы — в данном случае через Google Drive.
►"Рай" для злоумышленников
Баргури прокомментировал ситуацию: "Сегодня все мы используем ИИ-агентов для повышения эффективности работы, и их влияние на нашу жизнь только растет. Многие агенты получают доступ к почте, открывают папки, отправляют файлы от имени пользователей — это почти рай для злоумышленников, ведь количество возможных точек входа практически бесконечно.
В реальности, где технологии развиваются гораздо быстрее, чем средства киберзащиты, организации обязаны проявлять ответственность и удостовериться, что в итоге они не заплатят гораздо более высокую цену, чем экономия, которую дали им ИИ-агенты."
►О компании Zenity
Zenity была основана в 2021 году Беном Клигером (генеральный директор) и Михаэлем Баргури. В настоящее время в компании работает около 110 сотрудников по всему миру, из них около 70 — в офисе в Тель-Авиве. Среди клиентов — впечатляющий список корпораций из Fortune 100 и Fortune 5.