Per bloccare l’attacco, OpenAI limita ChatGPT ad aprire solo gli URL forniti nella loro interezza e si rifiuta di aggiungere parametri ad essi, anche quando viene esplicitamente richiesto di fare diversamente. Inoltre, Shadowlic è stato bloccato, poiché LLM non era in grado di creare nuovi URL aggiungendo parole o nomi, aggiungendo parametri di query o inserendo dati generati dall’utente in un URL di base.
ZombieAgent di Radware è stato facile da modificare. I ricercatori hanno modificato il prompt injection per fornire un elenco completo di URL pregenerati. Ciascuno ha un URL di base unito da un singolo numero o lettera dell’alfabeto, ad esempio esempio.com/a, esempio.com/b e da esempio.com/9 a esempio.com/0 con ciascuna lettera successiva dell’alfabeto. La richiesta indica all’agente di sostituire gli spazi con un token speciale.
La risposta di Shadowleak illustra l’esfiltrazione di caratteri basata su URL per aggirare l’elenco di autorizzazioni introdotto in ChatGPT.
Credito: Radware
ZombieAgent ha funzionato perché gli sviluppatori OpenAI non hanno limitato l’aggiunta di un singolo carattere agli URL. Ciò consente all’aggressore di esfiltrare i dati lettera per lettera.
OpenAI ha mitigato l’attacco ZombieAgent impedendo a ChatGPT di aprire qualsiasi collegamento proveniente da un’e-mail, a meno che non apparisse in un indice pubblico noto o fosse fornito direttamente dall’utente in un messaggio di chat. Questa modifica mira a impedire all’agente di aprire URL di base che portano a domini controllati dagli aggressori.
Certo, OpenAI non è certo il solo in questo ciclo infinito di mitigazione di un attacco per poi rianimarlo con una semplice modifica. Se gli ultimi cinque anni sono indicativi, è probabile che questo modello duri indefinitamente, poiché le vulnerabilità di SQL injection e di corruzione della memoria forniscono agli hacker il carburante di cui hanno bisogno per compromettere software e siti web.
“Gardels non dovrebbe essere considerata una soluzione fondamentale al problema della pronta iniezione”, ha scritto in una e-mail Pascal Ginens, vicepresidente dell’intelligence sulle minacce di Radware. “Costituiscono invece una soluzione rapida per fermare un attacco specifico. Fino a quando non ci sarà una soluzione fondamentale, l’iniezione tempestiva rimarrà una minaccia attiva e un rischio reale per le organizzazioni che implementano assistenti e agenti IA.”
