In het kort:
Radware's ZombieAgent-aanval toont aan hoe kwetsbaar AI-assistenten blijven voor prompt injection, ondanks OpenAI's pogingen om eerdere aanvallen te blokkeren.
- OpenAI blokkeerde de ShadowLeak-aanval door ChatGPT te verbieden parameters toe te voegen aan URL's, maar hackers vonden snel een omweg.
- ZombieAgent gebruikt vooraf samengestelde URL's met één letter of cijfer (zoals example.com/a, example.com/b) om data karakter voor karakter te stelen.
- OpenAI reageerde door ChatGPT te verbieden links uit e-mails te openen, tenzij ze in publieke indexen staan of direct door gebruikers zijn opgegeven.
Het grote plaatje:
Deze cyclus van aanval en verdediging herhaalt zich eindeloos in de AI-wereld. Pascal Geenens van Radware waarschuwt dat "guardrails geen fundamentele oplossingen zijn voor prompt injection-problemen, maar slechts snelle fixes voor specifieke aanvallen."
Net zoals SQL-injecties en geheugencorruptie decennialang hackers van brandstof hebben voorzien, lijkt prompt injection een blijvende bedreiging. Zolang er geen fundamentele oplossing komt, blijven organisaties die AI-assistenten inzetten kwetsbaar voor deze aanvallen.
