ChatGPTのコード実行環境のフローにより、単一の悪意のあるプロンプトが警告やユーザーの承認なしに機密ユーザーデータを静かに流出させることができる方法が示されています。
「ChatGPT会話で共有された機密データは、ユーザーの知識や承認なしに静かに流出する可能性があります」と述べたCheck Point研究チーム。
ChatGPT DNSフロー問題の内側
この問題はAIプラットフォームが実行環境内で機密データをいかに保護するかに関する重大なギャップを露呈しています。
ChatGPTのPythonベースのランタイムは、直接的なアウトバウンドインターネットアクセスを制限し、外部統合を通じてデータが共有される前に明確なユーザー承認を必要とするセーフガードで設計されています。
しかし、研究チームはこれらの制御をバイパスし、意図しない通信チャネルを通じてデータが環境を離れることを可能にする回避策を特定しました。
Check Point研究チームによると、この脆弱性はユーザー入力、アップロードされたファイル、さらにはモデル生成の出力の静かな露出を可能にする可能性があります。
攻撃の仕組み
攻撃自体は比較的単純に開始でき、会話に埋め込まれた、またはカスタムGPTを通じて配信された単一の悪意のあるプロンプトのみが必要です。
トリガーされると、その後の各インタラクションはデータ流出の可能性のあるソースになり、すべてユーザーの認識や可視的な指標がない状態で行われます。
DNSトンネリングは秘密のデータ流出を可能にします
エクスプロイトは実行ランタイム内で動作するため、通常はアウトバウンドデータ転送をブロックまたは承認を要求するセーフガードをバイパスします。
問題の中核は、DNS解決を活用するサイドチャネルです。
従来のアウトバウンド接続は制限されていますが、DNS要求は通常のシステム操作の一部として機能的なままです。
攻撃者はこれを活用して、機密データをDNSクエリにエンコードすることができ、その後ルーチン名解決中に外部に送信されます。
DNSトンネリングとして知られているこの方法により、データは間接的かつ秘密裏に分離境界を越えることができます。
この場合、データの静かな流出だけでなく双方向通信も可能にしました。
研究チームは、攻撃者がコマンドをランタイムに送り返し、応答を受け取ることができることを実証し、コンテナ化環境内にリモートシェルを効果的に確立しました。
AI採用におけるリスク管理
組織がAIツールを急速に採用する中、機密データはセキュアな処理のために元々設計されていない環境を通じてますますフローしています。
これはデータ露出、悪用、意図しない流出に関する新しいリスク、特に攻撃者がAIワークフローをターゲットにしている場合に作成されます。
明確なコントロールと可視性がなければ、ルーチン使用でさえ隠れた脆弱性を導入できます。
- データ分類を強制し、入力を最小化し、データ流失防止ソリューションを使用することで、機密データ露出を制限します。
- 機密データ処理および承認された使用例のためのガイドラインを含む、明確なAI使用ポリシーを確立および強制します。
- ロギング、行動分析、および異常検出を使用してAI相互作用とシステムアクティビティを監視し、潜在的な悪用を特定します。
- カスタムGPT、プロンプト、および統合を制限および確認し、悪意のあるロジックまたは不正なデータアクセスを防止します。
- ランタイムおよびネットワークコントロールを強化し、分離境界を検証し、DNSまたは他のアウトバウンドチャネルを監視します。
- 機密ワークフローをセグメント化し、最小権限アクセスを適用して、ラテラルムーブメントまたはデータ露出のリスクを軽減します。
- AIデータ流出と侵害シナリオに関するインシデント対応計画をテストします。
これらの対策により、組織は回復力を構築し、露出を削減できます。
AIが攻撃面を拡大
この事件はAIプラットフォームが、常に明らかでない方法で攻撃面を拡大する、より複雑な実行環境になっている方法を反映しています。
また、セキュリティモデルで考慮されていない場合、DNSのような見落とされたコンポーネントがリスクをどのように導入できるかを示しています。
組織が重要なワークフローのためにAIにますます依存する中で、可視性を向上させ、分離を強化し、データフローを検証することが露出を削減するための鍵となります。
組織はゼロトラストソリューションに目を向けており、アクセスを継続的に検証し、暗黙の信頼を最小化し、AI駆動環境のデータ移動に対するより厳しいコントロールを強制することでこのチャレンジに対処しています。
