כך תוקפים עלולים לקבל את כל המידע שלכם ב-ChatGPT ולהדריך אותו נגדכם

חברת הסייבר הישראלית Zenity הדגימה בכנס Black Hat 2025, מהבולטים בעולם בתחום אבטחת המידע, פרצת אבטחה חמורה במיוחד בכלי הבינה המלאכותית הפופולריים ובראשם ChatGPT של OpenAI.

ההדגמה היתה פריצת Zero Click - תקיפה שאינה דורשת מהקורבן ללחוץ על קישור מסויים או לבצע כל פעולה אחרת.

שנה בדיוק לאחר שחשפה כיצד ניתן לנצל את כלי ה-AI של מיקרוסופט כדי לחדור לקבצים ארגוניים, Zenity מציגה תמונה מדאיגה אף יותר: האיומים התעצמו, והיכולות ההתקפיות רק משתכללות.

מייסד-שותף וה-CTO של החברה, מיכאל ברגורי, הדגים כיצד חוקרי החברה הצליחו לפרוץ בזה אחר זה לכלים מובילים, ובהם ChatGPT, Copilot Studio ו-Salesforce Einstein. 

החידוש המטריד הוא שההשתלטות מתבצעת ללא צורך בלחיצה על קישור, פתיחת קובץ או כל אינטראקציה מצד המשתמש. מה שצריך בכדי להשתלט זה אך ורק לדעת את כתובת האימייל של המשתמש, דבר שקל מאוד להשיג.

ברגע ההשתלטות, התוקף מקבל גישה מלאה לחשבון ChatGPT של הקורבן: שיחות עבר, שיחות עתידיות, קבצים מקושרים (כמו ב־Google Drive), ואף יכול להשפיע על התשובות שהמערכת מספקת, לדוגמה, להפנות את המשתמש להורדת נוזקה או להעניק המלצות עסקיות שגויות במטרה לפגוע בעסק.

לטענתה של החברה, כל משתמש שמחובר ל-ChatGPT דרך גוגל דרייב נמצא בסיכון. 

לאחר הדיווח של החברה, OpenAI ומיקרוסופט מיהרו לספק תיקון. עם זאת, ספקים אחרים סירבו להתייחס, בטענה שמדובר בהתנהגות מכוונת של המערכת ולא בפרצה.

ליבת ההתקפה מבוססת על עיקרון פשוט אך עוצמתי: ברגע שמידע מהתוקף מגיע לשדה הראייה של מערכת ה-AI - החולשה מתחילה לפעול. במקרה זה, השימוש החכם של התוקפים היה ביכולת להחדיר מידע דרך שירותים מקושרים כמו Google Drive, ולנצל את האינטגרציה בין הכלים כדי לפרוץ פנימה.