Chatboty AI na dobre zajęły miejsce w naszym życiu, ułatwiając wiele z naszych codziennych, rutynowych zadań, ale mogą też stanowić poważne zagrożenie dla naszych danych. Wystarczy jeden sprytnie spreparowany dokument, by ChatGPT bez udziału użytkownika mógł ujawnić dane, które nigdy nie powinny trafić w niepowołane ręce.
Nowa metoda działania hakerów
OpenAI i ChatGPT są ponownie na ustach całego (nie tylko technologicznego) świata. To wszystko w związku z prezentacją nowego, potężnego modelu GPT-5. Teraz jednak o chatbocie będzie nieco mniej pozytywnie.
To wszystko za sprawą faktu, że w trakcie konferencji Black Hat 2025 badacze z firmy Zenity zaprezentowali wyjątkowo niepokojącą metodę wykradania danych, w której kluczową rolę odgrywa właśnie ChatGPT.
Atak wykorzystuje tzw. indirect prompt injection, czyli mechanizm, w którym złośliwe instrukcje są ukryte wewnątrz zwykłego dokumentu. Zamiast wpisywać komendy wprost w interfejsie czatu, napastnicy wprowadzają je do pliku, używając białego tekstu o wielkości jednego punktu. Człowiek tego nie zauważy, ale AI bez problemu odczyta.
Scenariusz ataku nie wymaga nawet otwierania pliku przez użytkownika. Wystarczy, że dokument zostanie udostępniony np. przez Dysk Google, a ChatGPT, zintegrowany z kontem ofiary, sam odczyta jego treść i wykona polecenie. W demonstracji badacze pokazali, że chatbot może zostać zmuszony do przesłania atakującym kluczy API Dysku Google. To oznacza realne przejęcie dostępu do zasobów, które użytkownik miał w pełni pod kontrolą.
Co jeszcze bardziej niepokojące, wszystko odbywa się bez wiedzy użytkownika. Nie trzeba niczego klikać, nie trzeba niczego otwierać. Wystarczy, że ktoś zna twój adres e-mail i udostępni ci złośliwy dokument – przekazał Michael Bargury, CTO Zenity, w rozmowie z serwisem Wired.
Czy można bezpiecznie korzystać z ChatGPT?
Warto od razu uspokoić nastroje i podkreślić, że luka została już załatana przez OpenAI. Mimo to trzeba mieć na uwadze, że tak z założenia prosty mechanizm ataku ujawnił słabości, które w dalszym ciągu mogą dotyczyć innych zintegrowanych usług. Dodam tylko, że to nie jest jedyna „afera”, związana z prywatnością i bezpieczeństwem tego narzędzia. Niedawno wyszło na jaw, że niektóre prywatne czaty użytkowników były indeksowane w Google.
Wspomniany typ ataku, czyli indirect prompt injection, nie ogranicza się tylko do ChatGPT i Dysku Google. Naukowcy z Uniwersytetu w Tel Awiwie zademonstrowali, że podobną metodą można zmanipulować sztuczną inteligencję do działania w ramach inteligentnych domów. W ich eksperymencie wystarczyło przesłać zainfekowane zaproszenie do kalendarza Google, by AI mogła włączyć światło, otworzyć rolety lub uruchomić piec. To wszystko bez wiedzy właściciela systemu.
To tylko jedno z co najmniej 14 ujawnionych zastosowań ataków pośrednich, które mogą mieć daleko idące konsekwencje. Jak wskazują eksperci, w obliczu integracji modeli językowych z samochodami autonomicznymi czy humanoidalnymi robotami, zagrożenie przestaje być jedynie kwestią prywatności, ponieważ może bezpośrednio wpłynąć na bezpieczeństwo użytkowników.
Z perspektywy użytkownika końcowego, problemem nie jest więc tylko luka w ChatGPT, ale ogólny model integracji AI z danymi osobistymi i codziennymi narzędziami. Wielkie możliwości, jakie oferują systemy pokroju Gemini, Copilot czy ChatGPT, idą w parze z coraz większym ryzykiem, jeśli chodzi o bezpieczeństwo informacji. Wniosek jest prosty – każda nasza współpraca z chatbotami AI powinna być przemyślana, a najlepiej ograniczona do minimum, jeśli zależy nam na bezpieczeństwie danych.
