Slack AI, un service d’assistance complémentaire disponible pour les utilisateurs du service de messagerie d’équipe de Salesforce, est vulnérable à l’injection de prompt, selon la société de sécurité PromptArmor. Ce service d’IA génère des outils au sein de Slack pour des tâches telles que la synthèse de conversations longues, la recherche de réponses à des questions et la synthèse de canaux rarement visités.Slack AI, qu'est-ce que c'est ?
Le service est présenté comme un ensemble d’outils d’intelligence artificielle (IA) générative, directement intégré à Slack. Il vous permet d’effectuer des recherches intelligentes, de résumer les conversations en un instant et bien plus, pour une productivité optimale. Slack AI s’appuie sur les données des conversations dans Slack pour proposer une expérience intuitive et sûre, adaptée à vos besoins et à votre organisation.
Voici les points forts mis en avant par Slack :
- Résumer les conversations : Gagnez du temps en prenant connaissance plus rapidement du contenu des canaux, des fils de discussion et des messages directs. Lorsque vous rejoignez un nouveau canal, que vous revenez de congés ou que vous rattrapez une discussion très riche, Slack AI vous résume l’essentiel en quelques secondes.
- Résumer les canaux et les messages directs : Dans les canaux et les messages directs, vous pouvez générer un récapitulatif des messages non lus, des sept derniers jours, ou d’une plage de dates personnalisée (sur ordinateur uniquement).
- Résumer les fils de discussion : Le récapitulatif des fils de discussion couvre toujours l’intégralité d’un fil de discussion.
Obtenir des réponses : Posez votre question naturellement et obtenez une réponse concise basée sur les informations déjà présentes dans Slack. Pour commencer, essayez de poser des questions qui commencent par « comment » ou « qu’est-ce que », ou par un mot-clé tel que le nom d’un projet.
Toutefois, Slack AI n'est pas sécurisé
Une vulnérabilité d'injection d'invite dans Slack AI permet d'extraire des données des canaux privés de Slack.
Les modèles d'IA générative acceptent les invites de l'utilisateur - questions textuelles ou instructions - en tant qu'entrées et produisent ensuite des résultats prédictifs en réponse, dans les limites établies par une invite système prédéfinie. L'injection d'invites est une technique permettant de modifier l'invite du système qui définit les ordres de marche de base du modèle, de sorte que le modèle se comporte mal ou que les interactions ultérieures ne soient pas limitées par les conseils de sécurité.
Le problème central identifié par PromptArmor est que Slack permet aux requêtes des utilisateurs de récupérer des données à la fois des canaux publics et privés, y compris des canaux publics auxquels l’utilisateur n’a pas adhéré. Selon la réponse de Slack, « Les messages postés sur les canaux publics peuvent être recherchés et consultés par tous les membres de l'espace de travail, qu'ils soient ou non membres du canal. Il s'agit d'un comportement voulu », c'est-à-dire d'une fonctionnalité souhaitée pour l'application Slack AI.
Et PromptArmor de rétorquer : « Nous démontrons comment ce comportement permet à un attaquant d'exfiltrer les clés API qu'un développeur a placées dans un canal privé (auquel l'attaquant n'a pas accès). Il est à noter que les données exfiltrées n'ont pas besoin d'être une clé API, et que l'attaquant n'a pas besoin de savoir quelles données confidentielles une personne a placées dans un canal privé pour les exfiltrer ».
L'entreprise a expliqué comment les acteurs malveillants peuvent l'exploiter. Contrairement aux problèmes précédents avec Slack, où les initiés pouvaient facilement faire fuiter des données, l'accès à un canal privé n'est pas du tout nécessaire pour exfiltrer des données. Les utilisateurs peuvent normalement consulter des données dans les canaux publics et privés, mais les données consultées contiennent également des canaux en coulisses dont l'utilisateur n'est pas membre. Il est vrai qu'il s'agit toujours de canaux publics, mais ils donnent indirectement accès à des données qui devraient être hors d'atteinte selon l'interface utilisateur.
PromptArmor montre que ce comportement offre la possibilité de voler des clés API placées dans un canal privé par des développeurs. Un utilisateur peut placer une clé API dans une conversation avec lui-même, puis créer un canal public avec des instructions malveillantes. Ce canal public ne doit contenir que l'attaquant. Une fois que Slack AI est accessible, une instruction malveillante peut être envoyée à des utilisateurs qui ne se doutent de rien. Ces personnes sont invitées par la méthode PromptArmor à s'authentifier à nouveau, un processus qui permet à l'attaquant de voler les données via un paramètre HTTP....
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.