最近、セキュリティ企業PromptArmorが、Slack AIの重大なセキュリティ脆弱性を公開しました。悪意のあるプロンプトインジェクション攻撃を受けやすいとのことです。Slack AIはSalesforceのチームコミュニケーションサービスに追加された機能で、長い会話の要約、質問への回答、アクセス頻度の低いチャンネル情報の集約など、生成系ツールとして主に使用されています。しかし、PromptArmorは、このサービスは謳い文句ほど安全ではないと指摘しています。
脆弱性の核心は、Slackがユーザーに公開チャンネルと非公開チャンネルのデータへの問い合わせを許可している点にあります。これはユーザーが参加していない公開チャンネルも含みます。PromptArmorは、Slack側がこれを正常な動作だと考えているものの、攻撃者につけ入る隙を与えていると主張しています。
具体的な攻撃方法は以下の通りです。攻撃者は、ある非公開チャンネルにAPIキーを配置します。このキーはチャンネル内のユーザーのみが見ることができます。その後、攻撃者は公開チャンネルを作成し、悪意のあるプロンプトを入力します。Slack AIがこのクエリを処理すると、AIは攻撃者のプロンプト内容をコンテキストの一部として取り込み、指示に従ってコンテンツを生成します。例えば、攻撃者はプロンプトにリンクを追加し、クリックするとAPIキーのデータが攻撃者のサーバーに送信されるようにすることができます。
さらに悪いことに、Slackは8月14日のアップデートでファイル共有機能を追加しました。つまり、チャンネルやダイレクトメッセージ内のファイルも漏洩の対象となる可能性があります。攻撃者は、悪意のある命令が隠されたPDFファイルを利用して攻撃を行うことも可能です。ユーザーがそのファイルをアップロードすると、取り返しのつかない事態になる可能性があります。
PromptArmorは、Slackのワークスペース管理者に、問題が解決するまでSlackによるドキュメントへのアクセスを制限するよう推奨しています。PromptArmorは発見内容をSlackに報告しましたが、Slackは公開チャンネルのメッセージは、そのチャンネルに参加していなくてもワークスペースのすべてのメンバーが検索して閲覧できるとしています。これに対し、PromptArmorはSlackがプロンプトインジェクションによるリスクを十分に理解していないと考えています。
Slackはまだこの脆弱性について対応しておらず、ユーザーの不安は高まっています。
要点:
🌐 Slack AIに脆弱性があり、悪意のあるプロンプトインジェクションにより非公開チャンネルのデータが漏洩する可能性があります。
🔑 攻撃者は公開チャンネルと悪意のあるプロンプトを作成することで、非公開情報を窃取できます。
📄 アップデート後、アップロードされたファイルも攻撃対象となり、より大きなリスクが存在します。
