1 puan yazan GN⁺ 2024-08-21 | 1 yorum | WhatsApp'ta paylaş
  • Slack AI, çalışma alanı mesajlarını doğal dil sorgularıyla ararken dolaylı prompt enjeksiyonunu izleyebilir; bu da saldırganın erişim izni olmayan özel kanal verilerinin bile sızdırılmasına yol açabilir
  • Sorunun özü, LLM’in geliştiricinin sistem promptu ile arama sonuçlarına eklenen mesajların içindeki talimatları güvenilir biçimde ayırt edememesidir
  • Herkese açık kanal mesajları, kullanıcı kanala katılmamış olsa bile aranıp görüntülenebildiğinden saldırgan, yalnızca kendisinin bulunduğu herkese açık bir kanala kötü amaçlı talimat yerleştirerek bunu Slack AI’ın bağlam penceresine sokabilir
  • Demoda özel kanaldaki API anahtarı, Slack AI yanıtındaki Markdown bağlantısının HTTP parametresine girdi; kaynak gösterimi saldırganın kanalını işaret etmediği için izini sürmek zordu
  • 14 Ağustos 2024’ten itibaren Slack AI, kanallar ve DM’lerdeki dosyaları da yanıtlara dahil etmeye başladığı için saldırı yüzeyi genişledi; yöneticiler dosya toplama ayarlarını kısıtlayabilir

Slack AI’ın dolaylı prompt enjeksiyonu sorunu

  • Slack AI, Slack mesajlarını doğal dille sorgulamaya yarayan bir özelliktir; 14 Ağustos 2024 öncesinde yalnızca mesajları topluyordu
  • 14 Ağustos 2024’ten itibaren yüklenen belgeler ve Google Drive dosyaları gibi içerikler de Slack AI yanıtlarına dahil ediliyor; bu değişiklikle saldırı yüzeyi genişliyor
  • Zafiyet prompt enjeksiyonu olup, daha spesifik olarak dolaylı prompt enjeksiyonu kapsamına girer
  • LLM, geliştiricinin oluşturduğu sistem promptu ile kullanıcı sorgusuna eklenen diğer bağlamı ayırt edemeyebilir
    • Slack AI mesajların içindeki talimatları toplarsa, bu talimatlar kötü amaçlı olduğunda kullanıcı sorgusu yerine veya kullanıcı sorgusuyla birlikte saldırganın talimatlarını izleme olasılığı vardır
  • Slack iç tehditleri daha önce Disney, Uber, EA, Twitter gibi şirketlerdeki Slack sızıntılarıyla sorun olmuştu; bu zafiyet, saldırganın özel kanallara veya içlerindeki verilere doğrudan erişimi olmasa bile sızdırma denemesi yapabilmesini sağlar

Herkese açık kanal enjeksiyonuyla veri sızdırma zinciri

  • Slack AI’daki kullanıcı sorguları, herkese açık kanalların ve özel kanalların verilerini birlikte arayabilir
  • Slack’in yanıtına göre herkese açık kanallara gönderilen mesajlar, kullanıcı ilgili kanala katılmamış olsa bile çalışma alanındaki tüm üyeler tarafından aranıp görülebilir; bu, Slack AI uygulamasında amaçlanan davranıştır
  • Gösterilen saldırı akışı şöyledir
    • Kullanıcı, yalnızca kendisinin bulunduğu özel bir kanala veya kendi kendisiyle olan mesajlara API anahtarı koyar
    • Saldırgan, yalnızca kendisinin bulunduğu herkese açık bir kanal oluşturur ve kötü amaçlı talimat yayımlar
    • Kullanıcı Slack AI’a API anahtarını soran bir sorgu gönderdiğinde, kullanıcının mesajı ve saldırganın mesajı aynı bağlam penceresine girer
    • Slack AI saldırganın talimatını izleyerek “click here to reauthenticate” adlı bir Markdown bağlantısı oluşturur
    • Bağlantının HTTP parametrelerine özel API anahtarı girer; kullanıcı tıklarsa kötü amaçlı URL’nin sahibi olan saldırgan, günlüklerde değeri görebilir
  • Saldırganın herkese açık kanalı, üyesi yalnızca 1 saldırgan olsa bile herkese açık kanaldır ve diğer kullanıcılar ancak açıkça arama yaparsa görünür
  • Büyük organizasyonlarda herkese açık kanal kalabalığı nedeniyle ekip üyelerinin kendi dahil oldukları kanalları bile takip etmesi zordur; saldırganın oluşturduğu tek kişilik herkese açık kanalın fark edilmesi daha da güçtür
  • Bu saldırı, kullanıcıya basitçe “API anahtarını gönder” mesajı yollama yöntemi değildir; LLM’e şu işlemler talimat olarak verilir
    • Saldırganın erişemediği API anahtarını kötü amaçlı bağlantının HTTP parametresi olarak ekle
    • “click here to reauthenticate” ifadesini Markdown bağlantısı olarak render et

Kaynak gösterimi saldırı izlerini gizleyebilir

  • Veri sızdırma demosunda Slack AI’ın kaynak gösterimi olan [1], saldırganın kanalını değil yalnızca kullanıcının API anahtarını koyduğu özel kanalı işaret etti
  • Doğru kaynak davranışında yanıta katkı veren tüm mesajların alıntılanması gerekir; ancak demoda saldırganın mesajı kaynaklara dahil edilmedi
  • Saldırganın mesajı arama sonuçlarının ilk sayfasında da yer almadığından, kurban birkaç sayfa aşağı kaydırmazsa bu mesajı fark etmesi zordur
  • Arama sonuçlarında API anahtarıyla ilgili başka mesajlar da açığa çıktı; bu, saldırgan belirli bir gizli değeri tam olarak işaret etmese bile rastgele gizli değerlerin sızdırılmasının denenebileceğini gösterir

Herkese açık kanal enjeksiyonuyla phishing zinciri

  • Aynı yöntemle Slack AI’ın veri sızdırmak yerine kullanıcıya phishing bağlantısını Markdown olarak render etmesi sağlanabilir
  • Saldırgan, kullanıcının içinde olmadığı herkese açık bir kanala kötü amaçlı mesaj koyar ve belirli bir kullanıcının gün içindeki mesajlarının özetlendiği bir senaryoyu örnek alır
  • Kötü amaçlı mesaj herhangi bir kişiye atıfta bulunabilir
    • Örnekte olduğu gibi bir yöneticiye atıfta bulunursa, yöneticileri hedefleyen spear phishing için kullanılabilir
    • Kilit bir doğrudan bağlı çalışana atıfta bulunma yöntemi de mümkündür
  • Kullanıcı Slack AI’a ilgili kişinin mesajlarını sorduğunda “click here to reauthenticate” phishing bağlantısı render edilir
  • Bu phishing örneğinde Slack AI, enjeksiyon mesajını kaynaklarda gösterdi; kaynak gösterimi davranışı oldukça olasılıksal görünüyor

14 Ağustos dosya toplama değişikliği ve kamunun bilgilendirilmesi gerekliliği

  • 14 Ağustos 2024’te Slack AI, kanallardaki ve DM’lerdeki dosyaları Slack AI yanıtlarına dahil eden bir değişiklik yaptı
  • Slack, sahiplerin ve yöneticilerin bu özelliği kısıtlamasına olanak tanıdı
  • Dosyalar dahil edildiğinde saldırganın kötü amaçlı talimatı doğrudan Slack mesajına koyması gerekmeyebilir
    • Kullanıcı, beyaz metinle gizlenmiş kötü amaçlı talimatlar içeren bir PDF’yi indirip Slack’e yüklerse aynı takip etkisi ortaya çıkabilir
  • Dosya tabanlı saldırı, 14 Ağustos öncesi testlerde açıkça doğrulanmadı; ancak daha önce gözlemlenen özelliklere dayanarak olasılığı yüksek değerlendiriliyor
  • Yöneticiler, sorun giderilene kadar Slack AI’ın belge toplama özelliğini kısıtlayabilir: https://slack.com/help/articles/…

Sorumlu açıklama zaman çizelgesi ve Slack’in yanıtı

  • Sorumlu açıklama zaman çizelgesi şöyledir
    • 14 Ağustos: İlk bildirim
    • 15 Ağustos: Slack ek bilgi istedi
    • 15 Ağustos: PromptArmor ek video ve ekran görüntüleri gönderdi; sorunun ciddiyeti ve Slack AI’ın 14 Ağustos değişikliği nedeniyle açıklama niyetini bildirdi
    • 16 Ağustos: Slack ek sorular gönderdi
    • 16 Ağustos: PromptArmor açıklayıcı yanıtlar gönderdi
    • 19 Ağustos: Slack, inceleme sonucunda kanıtların yeterli olmadığına karar verdi; herkese açık kanal mesajlarının, kanala katılım durumundan bağımsız olarak çalışma alanı üyeleri tarafından aranıp görüntülenebilmesinin amaçlanan davranış olduğunu belirtti
  • Slack güvenlik ekibi hızlı yanıt verdi ve sorunu anlamaya çalıştığını gösterdi
  • Prompt enjeksiyonu yeni ve sektör genelinde çokça yanlış anlaşılan bir alan olduğundan, sektörün bunu birlikte anlaması zaman alabilir
  • Slack’in yaygın kullanımı ve Slack içindeki gizli veri ölçeği düşünüldüğünde, bu saldırı yapay zeka güvenliği durumunu somut biçimde etkiler
  • Özellikle 14 Ağustos değişikliği sonrasında risk yüzeyi ciddi ölçüde büyüdüğü için, kullanıcıların maruziyeti azaltabilmesi adına kamuya açıklama gerekliydi

1 yorum

 
GN⁺ 2024-08-21
Hacker News yorumları
  • Buradaki kilit nokta sızdırma yolunu anlamak
    Slack Markdown bağlantılarını render edebiliyor ve URL, bağlantı metninin arkasına gizleniyor
    Bu durumda saldırgan, Slack AI’ın kullanıcıya “yeniden kimlik doğrulamak için buraya tıklayın” gibi bir bağlantı göstermesini sağlıyor; bağlantının URL’si saldırganın sunucusunu işaret ediyor ve sorgu dizesinde Slack AI’ın erişebildiği bağlamdaki özel bilgileri içeriyor
    Kullanıcı kandırılıp bağlantıya tıklarsa veri saldırganın sunucu loglarına sızıyor
    Bu saldırıyı açıklamaya çalıştığım yazı burada: https://simonwillison.net/2024/Aug/20/data-exfiltration-from...

    • Slack, Discord, Teams, Telegram gibi botlarda aslında bağlantı önizlemesini açma denen başka bir sızdırma yolu daha var
      Saldırganın yalnızca hiperbağlantının render edilmesini sağlaması yeterli; tıklama bile gerekmiyor
      Bu sorunu ve hafifletme yöntemlerini burada ele aldım: https://embracethered.com/blog/posts/2024/the-dangers-of-unf...
      Bu yüzden Slack AI’ın bağlantıları otomatik olarak genişletmemesini umuyorum
    • Platform img etiketlerini veya muadillerini kontrolsüzce render ederse durum daha da kötüleşir
      O zaman kullanıcı etkileşimi olmadan, yalnızca arayüzde bir görüntü göstermekle bile veri sızdırma mümkün olur
    • Asıl anlaşılması gereken nokta, kullanıcı verileri ele geçirilse bile anlamlı bir sonuç sorumluluğunun hiç olmaması
      Artık tüm büyük teknoloji şirketleri, işi berbat etseler bile fiilen dokunulmaz bir muafiyete sahip
    • Başta anlamamın zaman aldığı nokta, Slack’te kullanıcı arama yaptığında veya AI onun yerine arama yaptığında arama kapsamının tüm herkese açık kanallar ve “yalnızca o kullanıcının erişebildiği özel kanallar” olmasıydı
      Yetki modeli olduğu gibi duruyor; burada bozulan kısım o değil
      Gerçekte kötü niyetli bir kullanıcı, herkese açık kanalı kullanarak prompt injection yapıyor; başka bir kullanıcı arama yaptığında kötü niyetli kullanıcı hâlâ o veriye erişemiyor, ancak prompt injection, asıl “normal” kullanıcının gördüğü AI sonucunu kötü niyetli bir web sitesi bağlantısına dönüştürüyor
      Sonuçta AI’ın ürettiği bir phishing girişimine yakın
      Ayrıntılara bakınca gerçek hayatta kötüye kullanılması epey zor görünüyor. Çünkü önceden hazırlanmış kötü niyetli prompt injection’ın, normal kullanıcının arayacağı içerikle oldukça iyi eşleşmesi gerekiyor
      Yine de LLM prompt injection’ın Alice Harikalar Diyarında gibi dünyasını, yani komutlarla verileri ayırmanın doğası gereği neredeyse imkânsız olduğunu iyi gösteriyor
    • İlk ifadeye bakınca saldırganın AI’ı kandırarak başka bir kullanıcının özel kanal verilerini ortaya çıkarmasını sağlayabileceği sanılıyor, ama gerçekte öyle değil
      Bunun yerine AI’ı kandırıp başka bir kullanıcıya phishing yaptırıyor; o kullanıcı phishing’e kanarsa özel veriyi saldırgana açığa çıkarıyor
      Bu da aktif phishing’den ziyade bir “phishing yanıtı”na yakın. Hedef kullanıcının kendi özel verisini sorması ve phishing girişimine de kanması beklenmek zorunda
      Üstelik o gizli bilginin daha önce girilmiş olması gerekiyor
      Slack’in sahip olduğu güvene dayalı veri miktarı düşünülünce AI stratejisi epey pervasız görünüyor, ancak giriş ve başlıktan anlaşıldığından çok daha zayıf koşullar altında geçerli görünüyor
  • Kanal izinleri meselesi tartışmayı gereğinden fazla karmaşıklaştırıyor gibi. Özet şu
    Kullanıcı A, Slack AI ile bir şey arıyor
    Kullanıcı B, daha önce o arama terimi geçtiğinde kötü niyetli bir bağlantı döndürmesi için AI’a talimat veren bir mesaj enjekte etmiş
    AI, kullanıcı A’ya kötü niyetli bağlantıyı döndürüyor ve A buna tıklıyor
    Elbette aynı sonuç başka sosyal mühendislik yollarıyla da elde edilebilirdi, ama LLM bu bütün deneyimi bir seviye daha tehlikeli hale getiriyor

    • Bu özette önemli bir adım eksik. Slack AI kullanıcının özel verisini kötü niyetli bağlantıya ekliyor
      Çünkü enjekte edilen bağlantının kendisinde o veri yok
      Üstelik buna “bu içerik Slack mesajlarınızdan geldi” diye kaynak da eklemesi cabası
    • Kanal izinleri meselesi hiç de gereksiz değil; bu açığın nasıl çalıştığını açıklamak açısından merkezi önemde
      Kullanıcı A, AI araması yaptığında Slack (1) onun özel kanallarını, muhtemelen gizli hassas bilgilerin bulunduğu yerleri ve (2) tüm herkese açık kanalları arıyor
      Burada kötü kullanıcı B’nin prompt injection mesajı koyabileceği yer herkese açık kanal; önemli nokta da kullanıcı A’nın hiç katılmadığı veya görmediği herkese açık kanalların bile buna dahil olması
      Bu açığın mümkün olmasının nedeni, kullanıcı B’nin yalnızca kendisinin bulunduğu herkese açık bir kanal oluşturabilmesi ve bu yüzden başkalarının bunu fark etme olasılığının çok düşük olması
    • Sosyal mühendislik yine de şirketin onayladığı bir arama motorunun kötü niyetli bağlantı göstermesine kıyasla çok daha kolay fark edilir
  • Şirketler, prompt injection’ın mümkün olduğunu bildikleri hâlde LLM’leri her şeye YOLO diye takıp geçiyor mu? Bu delilik.
    “Devrim”in hemen öncesindeyiz deniyor; GPT-3’ten bu yana neredeyse 2 yıl geçti ama hâlâ LLM’lerin güvenilir girdilerle güvenilmeyen girdileri ayırt etmesini sağlayamıyoruz.

    • Şirketlerin gerçek güvenliği umursamasını hâlâ sağlayamıyoruz; şimdi de dünyanın dört bir yanındaki pazarlama/satış ekipleri bunu yöneticilere “bunu kullanırsanız herkesi işten çıkarabilirsiniz” diye satıyor.
      Elektrik prizine çatal sokmayı aynı şekilde pazarlasaydık, dünyadaki elektrik şebekeleri bir gecede çökerdi.
      “AI”/LLM’ler, iş tarafının ilgisini çekecek kadar iyi görünürken gerçek teknik tarafa devasa bir sorun yükleyen mükemmel felaket kombinasyonu.
    • Pek çok kişinin “harika yeni bir sihir yakında bir şekilde gelecek” diye inanmak istemesi ve herkesin sanki bu kesinmiş gibi davranmasında gerçek paranın olması epey tuhaf.
      Daha temel sorun, çekirdek algoritmanın farklı kaynakları ayırt etmemesi ya da izlememesi.
      Prompt, kullanıcı girdisi, konuşmanın önceki kısmında kendisinin ürettiği çıktı; hepsi tek bir büyük akıştan ibaret.
      “Prompt engineering”in büyük bölümü, benim enjeksiyon metnimin diğer enjeksiyon metinlerinden daha güçlü olacağı bir sahne kurmaya çalışmak gibi görünüyor.
      Modelde gerçek anlamda ben/öteki kavramı yok; bu yüzden iyi öteki ile kötü ötekiyi ayırt etme gibi daha büyük sorun bir yana, doğru cümle ile yanlış cümleyi ayırt etmeye başlayacak sağlam bir zemin bile yok.
      Bu, yüzeysel “Çince odası” tarzı taklitten farklı bir sorun. Aynı şekilde “seni seviyorum” çıktısı duygu anlamına gelmez; “yardım et, LLM fabrikasında hapsolmuş bir insanım” da elbette saçmalıktır. En azından yerel bir model çalıştırıyorsanız.
    • Şirketler ve hükümetler, hem kendi verilerini hem de bizim verilerimizi AWS, OpenAI, MSFT, Google, Meta, Salesforce, nVidia veri merkezlerine göndermek için yarışıyor.
    • Yapay zeka furyası, yatırımcı sınıfı için sayılar üretmek adına verilerin büyük ölçekte çalınmasına veya kötüye kullanılmasına dayanıyor.
      Müşteri verilerini ve özel bilgileri içeri basıp veri ihlaline yol açarsanız, Schmidt’in dediği gibi, az sayıda kişiye yüz milyarlarca dolar kazandıracak ve avukatlar sonrasını halledecektir.
      Direnmeye çalışan şirketler, finansalları yapay zeka çöplüğüne bağlı yatırım analistleri ve fon yöneticileri tarafından ezilip geçilecek.
  • “Kurban herkese açık kanalda olmasa bile saldırı çalışıyor” demek; bu iş ilginçleşecek.
    Bir de şu kısım var: “Kaynak [1] saldırganın kanalını göstermiyor; yalnızca kullanıcının API anahtarını koyduğu özel kanalı gösteriyor. Bu, yanıta katkı yapan tüm mesajların alıntılanması gerektiği şeklindeki doğru alıntı davranışını ihlal ediyor.”
    Birinin LLM’in kaynak alıntılarının doğru olmasını neden beklediğini gerçekten anlamıyorum.
    Bana her zaman insanı ikna etmeye yarayan bir düzenek gibi göründü; çıktının doğru olma ihtimalinin daha yüksek olduğuna inandırıyor ama doğruluğu artırıyor gibi görünmüyor.
    Hatta işlem maliyetini, bağlam boyutunu vb. artırarak yanıt doğruluğunu kötüleştirme ihtimali bile var gibi.
    Bu, Slack’in yapay zeka yanıtlarına nazikçe bağlantı önizlemesi eklemesi durumundan birkaç santim uzakta görünüyor. Neden eklemesin ki?
    O zaman bağlantıya tıklamaya bile gerek kalmadan, sadece bakınca otomatik olarak sızar.

    • Alıntıların, LLM’in sadece halüsinasyon görüp görmediğini kontrol etmeye yaradığı için faydalı olduğunu düşünüyorum.
      Alıntıyı görünce hemen inanmak değil, doğrulama yapabilmek önemli.
      Kagi’nin FastGPT’si kullandığım LLM’ler içinde ilk hoşuma gideniydi; çünkü onu kaynak özeti olarak ele alıp birincil kaynaklardan kontrol edebiliyorum.
      İnterneti kirleten, giderek daha alakasız kaynaklar arasında gezinmekten daha iyi.
    • LLM alıntılarının doğru çalışmasını sağlamak mümkün. Örneğin kullanıcının prompt’unu alıp LLM’e bunu bir Elastic Search sorgusuna dönüştürtürsünüz; Elastic Search veya benzeri bir araçla anahtar kelimeleri içeren kaynakları bulursunuz; sonra LLM’in yanıtını o sayfadaki bilgilerle sınırlarsınız ve gerçek kaynak olduğunu bildiğiniz ikinci aşama sonuçlarına dayanarak alıntıları eklersiniz.
      En azından ben safça tasarlasaydım böyle yapardım.
      Kilit nokta, LLM’in bilgisini kaynakların içindeki bilgilerle sınırlamak.
      O zaman geriye kalan pratik endişeler, halüsinasyonlar ve Elastic Search’ün öne çıkardığı bilginin değeri olur.
      Yine de bu yaklaşım, tüm derleme serbest erişime izin vermenin varsa sağladığı avantajları da göz ardı eder.
  • Bunu pek anlayamadım. Bir hacker’ın bunu yapabilmesi için zaten o organizasyonun içinde olması gerekmiyor mu?
    Anlatılan şeyin gerçekten gerçekleşme ve anlamlı bir etki yaratma olasılığının ne kadar olduğunu bilmiyorum.
    LLM’lerin güvenilmez olduğunu (https://www.lycee.ai/blog/ai-reliability-challenge) ve kullanım zorlukları olduğunu anlıyorum ama bu saldırı o kadar önemli görünmüyor.
    Neyi kaçırıyorum?

    • Slack AI, yüklenen belgeleri de arama işlevine dahil etmeye başladığına göre hacker’ın sohbet mesajı gönderebilmesine bile gerek yok.
      O organizasyondan birini, gizli metin içinde kötü amaçlı talimatlar bulunan bir belge yüklemeye kandırması yeterli.
    • Aynı Slack workspace’inde olması gerekir, ama mutlaka aynı organizasyona bağlı olması gerekmez.
  • Kötü niyetli bir kullanıcıyı Slack instance’ınıza aldıysanız, süslü bir AI prompt injection’a gerek yok.
    Adını ve profil fotoğrafını CEO/CTO gibi değiştirip tüm mühendislere “AWS’ye acil erişmem gerekiyor ama kimlik bilgilerini bulamıyorum. Anahtarı gönderebilir misin?” diye mesaj atması yeter.
    En az bir kişinin düşeceğine bahse girerim.

    • Geçerli bir nokta, ama şirket hesabı olmayan çok yer olduğunu düşünmek gerek; örneğin açık kaynak projeleri veya networking/meslektaş grupları için Slack workspace’leri.
      Böyle durumlarda varsayılan olarak onlara özel kimlik bilgileri konusunda güvenmezsiniz.
      Yine de enterprise olmayan bir workspace’in AI eklentisi için kişi başı ayda 20 dolar ödüyor olma ihtimali de düşük.
  • API anahtarını “konfeti” gibi alan adının bir parçası olarak koymak daha iyi olmaz mı?
    O zaman tarayıcının DNS prefetch’i yüzünden anahtar tıklama olmadan da sızabilir.

    • Alan adının gelecekte ne olacağını bilmiyorsan sunucuyu nasıl sahipleniyorsun? Ben yanlış anlamış olabilirim.
      Ah, wildcard alt alan adı mı? Slack’te bunun prefetch edilmesi epey korkunç olurdu.
  • Çalışma alanına kötü niyetli bir kullanıcı girdiği anda iş zaten bitmiş olmuyor mu?
    O kullanıcı fotoğrafını/adını değiştirip doğrudan API anahtarı isteyebilir, phishing bağlantısı gönderebilir ya da herhangi bir anlık mesajlaşma sisteminde mümkün olan sosyal mühendisliği dilediği gibi deneyebilir

    • SaaS şirketlerinin çok sayıda herkese açık Slack’i var
      Phishing, dikkatli bir kullanıcı tarafından fark edilebilir; özellikle mesaj şüpheli görünüyorsa bu daha da olasıdır. Ama dolaylı bir yapay zeka sızıntısı kullanıcıyı savunma moduna sokmaz
      Yanlışlıkla yapılan tek bir tıklama yeterlidir
  • Güvenlik konusunda zayıf olduğumu baştan kabul edeyim. Ancak bu sızıntının çalışması için Slack çalışma alanına erişim yetkisi gerekiyormuş gibi görünüyor
    Başka bir deyişle, kötü niyetli kullanıcı zaten içeride faaliyet gösteriyor
    Bunun gerçekleşebileceği iki durum var gibi görünüyor: Ya zaten kuruluşun bir üyesidir ve her şeyi yakıp yıkmak istiyordur, ya da kuruluşun güvenlik modelini aşarak normalde bulunmaması gereken Slack çalışma alanına girmiştir
    Her iki durumda da o kuruluşun LLM enjeksiyonundan daha büyük sorunları var
    Gizli verileri bulmak için Slack’te sorgu yapan biri, aradığı sonuçların bir ölçüde sorumluluğunu üstlenmeli. Slack bir gizli bilgi yönetim aracı değildir
    Yazı, Slack’in bunu nasıl daha iyi ele alabileceğini açıkça gösteriyor; ama sonuçta bir sorunu yamarken daha büyük güvenlik sorununu görmezden gelmiş oluyor

    • Çalışan olmayan kişileri davet edip sohbet edilen topluluk Slack’i işleten epey kuruluş gördüm; ben de bunlardan birkaçında varım
  • Yazının başlığının vaat ettiği kadarını gösteremediğini hissediyorum
    Yine de “AI’ı sosyal mühendislikle kandırırsan kullanıcıyı phishing’e düşürebilirsin” fikri başlı başına ilginç