最近,安全公司 PromptArmor 曝光了 Slack AI 的一个严重安全漏洞,称其容易受到恶意提示注入攻击。Slack AI 是 Salesforce 团队通讯服务中的一个附加服务,主要用于生成性工具,比如总结长对话、回答问题和汇总不常访问的频道信息。然而,PromptArmor 表示,这个服务并不像它宣称的那样安全。
漏洞的核心在于,Slack 允许用户查询公共和私密频道的数据,包括用户未加入的公共频道。PromptArmor 认为,虽然 Slack 方面认为这是正常行为却给了攻击可乘之机。
具体的攻击方式是这样的:攻击者可以在某个私密频道中放置一个 API 密钥,而该密钥仅对频道内的用户可见。随后,攻击者创建一个公共频道,并输入一个恶意的提示。当 Slack AI 处理这些查询时,AI 会把攻击者的提示内容作为上下文的一部分引入来,然后按照指令生成内容。例如,攻击者可能会在提示中添加一个链接,点击后就会把 API 密钥数据发送到攻击者的服务器上。
更为糟糕的是,Slack 在8月14日的更新中添加了文件共享功能,意味着用户在频道和私信中的文件也可能成为泄露目标。攻击者甚至可以利用带有隐藏恶意指令的 PDF 文件进行攻击,用户一旦上传该文件,后果不堪设想。
PromptArmor 建议 Slack 的工作区管理员应当限制 Slack 对文档的访问,直到问题解决为止。尽管 PromptArmor 已将其发现告知 Slack,Slack 却表示,公开频道中的消息可以被工作区的所有成员搜索和查看,即使他们没有加入该频道。对此,PromptArmor 认为 Slack 对提示注入所带来的风险理解不足。
Slack 目前尚未对此漏洞做出回应,用户们漏洞的担忧也在增加。