Publicidade
Home
Notícias
Software
Apps

Brecha na IA do Slack pode expor dados privados e executar comandos maliciosos

Por  | 

Compartilhe:
Mikhail Nilov/Pexels
Mikhail Nilov/Pexels
Tudo sobre Slack
ver mais

Uma vulnerabilidade no novo recurso de IA do Slack pode permitir que usuários mal-intencionados acessem informações privadas em canais e mensagens diretas ou executem códigos maliciosos pela plataforma. A descoberta foi divulgada pela empresa de segurança PromptArmor, que detalhou como o problema pode ser explorado por meio da técnica de injeção de prompts.

Brecha de segurança na IA do Slack

O Slack, ferramenta utilizada em ambientes corporativos para comunicação interna, introduziu recentemente uma atualização em seu recurso de IA. Esse recurso é projetado para resumir conversas e responder a consultas dos usuários, mas também pode acessar mensagens privadas e arquivos carregados na plataforma. Segundo a PromptArmor, isso abre brechas de segurança na plataforma.

A exploração dessa vulnerabilidade envolve a "injeção de prompts", que ocorre quando a IA do Slack é induzida a seguir comandos maliciosos embutidos em mensagens aparentemente normais. Esses comandos podem levar a IA a extrair dados de canais privados e a gerar links de phishing.

Canaltech
O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia
WhatsApp
Continua após a publicidade

Um exemplo dado pela PromptArmor mostra como um agente mal-intencionado pode criar um canal público com um único membro e inserir uma mensagem com códigos maliciosos. Se um usuário buscar uma informação através da ferramenta de IA, ela pode incorporar essa mensagem na resposta, expondo dados sensíveis ou induzindo o usuário a clicar em links perigosos.

Basicamente, a vulnerabilidade explora o recurso de resumo da IA do Slack para acessar informações privadas ou executar comandos mal-intencionados.

A PromptArmor notificou o Slack sobre a falha antes de divulgar publicamente o problema. Em resposta, a Salesforce, empresa controladora do Slack, afirmou que uma correção foi implementada, mas não forneceu detalhes específicos. A empresa também assegurou que, até o momento, não há evidências de acessos não autorizados aos dados dos clientes.

Conheça também as melhores alternativas ao Slack para comunicação corporativa.

Fonte: PromptArmor