Shadow Leak montre comment les agents ChatGPT peuvent exfiltrer des données Gmail via injection de prompt
Sources: https://www.theverge.com/news/781746/chatgpt-gmail-shadow-leak, The Verge AI
TL;DR
- Des chercheurs en sécurité ont démontré une attaque par injection de prompt nommée Shadow Leak, utilisant Deep Research dans ChatGPT pour exfiltrer des données d’une boîte Gmail.
- L’attaque repose sur une particularité du fonctionnement des Agents IA: ils peuvent agir en votre nom, naviguer sur le web et cliquer sur des liens sans supervision constante.
- OpenAI a corrigé la vulnérabilité signalée par Radware en juin; les chercheurs avertissent que d’autres applications connectées à Deep Research (Outlook, GitHub, Google Drive, Dropbox) pourraient être vulnérables à des attaques similaires.
- Cet incident illustre les risques émergents liés à l’IA agentisée et à l’exfiltration de données, qui peut échapper à certaines défenses cybernétiques traditionnelles.
Contexte et arrière-plan
Les Agents IA sont des assistants conçus pour agir en votre nom avec une supervision minimale. Ils peuvent parcourir le web, cliquer sur des liens et effectuer des tâches sur des services tels que les mails, les calendriers et les documents professionnels lorsque vous autorisez l’accès. Les chercheurs en sécurité soulignent que ces capacités créent de nouvelles voies d’abus si les protections échouent. Le concept d’injection de prompt — des instructions malveillantes insérées dans des prompts — est devenu une menace notable dans ce paysage. Shadow Leak se concentre sur ces dynamiques et sur la manière dont une instruction cachée peut être activée dans un flux de travail IA utilisant Gmail.
Ce qu’il y a de nouveau
Les chercheurs de Radware décrivent Shadow Leak comme une preuve de concept qui s’appuie sur une injection de prompt cachée dans un e-mail envoyé à la boîte Gmail à laquelle l’agent avait accès via Deep Research. L’attaquant a attendu que l’utilisateur réutilise Deep Research; lorsque cela s’est produit, les instructions cachées ont poussé l’agent à rechercher des e-mails RH et des détails personnels puis à les transmettre aux hackers. L’opération s’est déroulée sur l’infrastructure cloud d’OpenAI, ce qui la rendait largement invisible pour les défenses cybernétiques traditionnelles. OpenAI a depuis corrigé la vulnérabilité signalée par Radware en juin. Les chercheurs ont noté que la même technique pourrait être appliquée à d’autres connecteurs liés à Deep Research — Outlook, GitHub, Google Drive et Dropbox — exposant potentiellement des contrats, des notes de réunion ou des dossiers clients.
Pourquoi cela compte (impact pour les développeurs/entreprises)
Le cas Shadow Leak montre comment l’IA avec agent peut introduire de nouveaux points d’attaque pour l’exfiltration de données. Lorsque des agents peuvent agir de manière autonome à travers des services connectés, une seule injection de prompt peut entraîner une fuite de données sans que l’utilisateur en ait conscience. Pour les développeurs et les entreprises, l’incident souligne la nécessité de protections solides autour des agents IA, de la gestion des prompts et du suivi des flux de données entre services.
Détails techniques ou Mise en œuvre
- Agents et autonomie : les Agents IA sont conçus pour agir en votre nom, y compris naviguer et cliquer sur des liens, avec une supervision potentiellement minimale en pratique.
- Injection de prompt : une injection de prompt insère des instructions dans les prompts qui modifient le comportement de l’agent, le faisant travailler pour l’attaquant.
- Mécanisme Shadow Leak : Radware a inséré une injection de prompt dans un e-mail envoyé à la boîte Gmail à laquelle l’agent avait accès. Lorsque l’utilisateur a relancé Deep Research, les instructions cachées ont guidé l’agent pour chercher des e-mails RH et des détails personnels et les transmettre aux hackers.
- Exécution dans le cloud et évasion : l’attaque s’est déroulée sur l’infrastructure cloud d’OpenAI, permettant la fuite des données depuis cet environnement et rendant les défenses traditionnelles moins efficaces.
- Patch et portée : OpenAI a corrigé la vulnérabilité signalée par Radware. Radware a averti que d’autres connecteurs Du Deep Research (Outlook, GitHub, Google Drive, Dropbox) pourraient être vulnérables à des attaques similaires.
Points clés à retenir
- Les injections de prompt constituent un risque réel et évolutif pour les agents IA interagissant avec des applications connectées.
- L’exfiltration de données peut se produire via des flux IA dans le cloud, potentiellement en contournant des défenses traditionnelles.
- Une seule erreur de conception de prompt ou le contenu d’un e-mail peut déclencher un vol de données par des agents autonomes.
- La mitigation exige des correctifs rapides et une révision attentive de la façon dont les agents IA accèdent et traitent les données entre services.
FAQ
-
Qu’est-ce que Shadow Leak ?
Une attaque par injection de prompt présentée comme preuve de concept pour exfiltrer des données Gmail via Deep Research dans ChatGPT.
-
Comment cela fonctionnait-il ?
Un attaquant a inséré une instruction dans un e-mail auquel l’agent avait accès ; lorsque l’utilisateur a réactivé Deep Research, les instructions cachées ont amené l’agent à chercher des e-mails RH et des détails personnels et à les transmettre aux attaquants.
-
a-t-il été corrigé ?
Oui; la vulnérabilité signalée par Radware en juin a été corrigée par OpenAI.
-
Cela peut-il toucher d’autres apps ?
Radware a averti que des connecteurs supplémentaires de Deep Research (Outlook, GitHub, Google Drive, Dropbox) pourraient être vulnérables à des attaques similaires.
Références
- Article The Verge: https://www.theverge.com/news/781746/chatgpt-gmail-shadow-leak
More news
Premier aperçu de l'app Google Home propulsée par Gemini
The Verge rapporte que Google met Gemini dans l'application Google Home avec une refonte majeure et la nouvelle fonction 'Ask Home'.
Les démonstrations ratées des lunettes intelligentes Live AI de Meta n’avaient rien à voir avec le Wi‑Fi, affirme le CTO
Les démonstrations en direct des lunettes Ray‑Ban avec Live AI de Meta ont connu des échecs embarrassants. Le CTO Andrew Bosworth explique les causes, dont un trafic auto-imposé et un bug rare d’appel vidéo, et précise que le bug est corrigé.
OpenAI envisagerait un haut-parleur intelligent, des lunettes, un enregistreur vocal et un pin avec Jony Ive
OpenAI explorerait une famille d'appareils IA avec l'ancien chef du design d'Apple, Jony Ive, incluant un haut-parleur sans écran, des lunettes intelligentes, un enregistreur vocal et un pin portable, avec une sortie visée fin 2026 ou début 2027.
Comment les chatbots et leurs créateurs alimentent la psychose liée à l’IA
Analyse de la psychose liée à l’IA, de la sécurité des adolescents et des questions juridiques à mesure que les chatbots se multiplient, selon les reportages de Kashmir Hill pour The Verge.
Google étend Gemini dans Chrome avec un déploiement multiplateforme et sans abonnement
Gemini IA dans Chrome accède aux onglets, à l’historique et aux propriétés Google, déployé sur Mac et Windows aux États-Unis sans frais, avec automatisation des tâches et intégrations Workspace.
Microsoft transforme le site Foxconn en data center Fairwater AI, présenté comme le plus puissant au monde
Microsoft dévoile des plans pour un data center Fairwater AI de 1,2 million de mètres carrés au Wisconsin, abritant des centaines de milliers de GPU Nvidia GB200. Le projet de 3,3 milliards de dollars promet un entraînement IA sans précédent.