Для такой атаки достаточно знать адрес электронной почты жертвы, говорит Эито Миямура.
Исследователь безопасности Эито Миямура показал, как хакер может использовать вредоносное приглашение в Google Календарь, чтобы заставить ChatGPT раскрывать личные письма пользователя.
Как Миямура рассказал в X, злоумышленник создаёт событие с встроенными инструкциями и ждёт, пока жертва попросит ассистента выполнить какое-то действие. ChatGPT читает приглашение и может получить доступ к Gmail, включая приватные письма. По словам Миямуры, для атаки достаточно знать только адрес электронной почты жертвы.
Речь идёт о функции ChatGPT, которая позволяет подключать Gmail и Google Календарь напрямую. Это нужно, чтобы ассистент мог автоматически отвечать на вопросы вроде "Что у меня сегодня в календаре?" без дополнительных действий.
Именно эта автоматизация и создаёт риск - если ChatGPT разрешено читать содержимое календаря, злоумышленник может вставить туда вредоносные инструкции, так называемую indirect prompt injection, когда ассистент следует скрытым командам в разрешённых данных.
OpenAI предупреждает, что эту функцию можно отключить в настройках, чтобы ChatGPT не использовал данные из календаря и почты автоматически. Дополнительно Миямура советует соблюдать меры безопасности на стороне Google: разрешать добавление событий только от знакомых контактов и скрывать отклонённые приглашения.
Эксперты отмечают, что атака не взламывает ChatGPT или Gmail напрямую. Проблема в том, что инструмент, который может работать с внешними источниками, становится уязвимым для скрытых инструкций в этих источниках.
Ранее мы рассказывали, что эксперты по кибербезопасности рассказали, как хакеры могут взломать вас через Discord. Особую опасность несут устаревшие инвайты.