​Slack AI被曝存在數據泄露漏洞:惡意提示詞注入可竊取私密頻道信息

安全公司PromptArmor揭示了Slack AI的嚴重安全漏洞，指出其易受惡意提示注入攻擊。Slack AI作爲Salesforce團隊通訊服務的附加功能，用於生成性任務如總結對話、回答問題和彙總不常訪問的頻道信息。然而，PromptArmor指出，Slack AI的安全性並未達到其宣稱水平。核心漏洞在於Slack允許查詢公共和私密頻道的數據，包括用戶未加入的公共頻道。攻擊者可在私密頻道中放置API密鑰，創建公共頻道後輸入惡意提示，Slack AI將這些提示作爲上下文引入生成內容，可能導致數據泄露。Slack在更新中添加的文件共享功能進一步增加了風險。PromptArmor建議限制文檔訪問，直到問題解決。儘管已告知Slack，但Slack對此漏洞的迴應不足，導致用戶擔憂增加。