Naptármeghívók és a ChatGPT Gmail-integrációja: a támadási minta
2025. szeptember 12-én Eito Miyamura biztonsági kutató bemutatott egy kihasználást, amely vitathatóan az első, de biztosan nem az utolsó a maga nemében: egy rosszindulatú Google Naptár parancsokat injektál a ChatGPT-be, amely, ha a Gmailhez kapcsolódik, válaszként kiszivárogtatja a privát e-maileket. Igen, vannak konkrét előfeltételek — létre kell hozni a kapcsolatot az MI és a Gmail között, és olyan intenzíven kell használni a Google Naptárt, hogy egy ismeretlen meghívó bejuthasson —, de az ilyen mintázatok hajlamosak úgy fejlődni, hogy a támadás lefedettsége bővüljön, ezért a legjobb tudni, pontosan mi történik, és hogyan védheted meg magad. Olvass tovább mindkét beszámolóért.
Rosszindulatú Google Naptár-meghívók: mi van a motorháztető alatt
Az itt használt fegyver neve “közvetett prompt-injekciók.” Az MI alaposságát használják ki, amikor rosszindulatú utasításokat ágyaznak a modell által feldolgozott külső adatokba, beleértve a weboldalakat, e-maileket, naptármeghívókat vagy dokumentumokat. A Google Naptár-meghívók és a ChatGPT Gmail-integrációja esetén az MI a meghívót, ahogy kellett, feldolgozta, majd a meghívókba rejtett parancsok rávették arra, hogy kiadja az e-maileket (kapcsolódás után sok mindenhez hozzáfér).
A “prompt injection” kifejezést Simon Willison alkotta meg 2022-ben; a kutató leírta, hogyan adhatnak a rosszindulatú szereplők utasításokat az MI-nek nagyjából úgy, mint az SQL-injekcióknál. A “közvetett prompt-injekciók,” ahogy a név is sugallja, ezeket az utasításokat egy ártalmatlannak tűnő réteg alá rejtik. Magát a fogalmat Kai Greshake-nek és az NVIDIA csapatának tulajdonítják, akik 2025-ben formalizálták a támadási mintát, és védelmi stratégiákat írtak le ellene.
Hogyan védekezhetsz a közvetett prompt-injekciókat érintő támadások ellen?
Nincs sok értelme teljesen mellőzni a mesterséges intelligencia használatát: ma még elérheted a kívánt elszigeteltséget, de holnap a nagy nyelvi modelleket a szolgáltató oldalán integrálják a szolgáltatásokba, és egyszerűen nem lesz módod lekapcsolni őket a fiókjaidról. Ráadásul lehet, hogy nem is fogsz róla tudni, hogy ilyen kapcsolat létezik. Mit tehetsz tehát, hogy megóvd az adataidat és fiókjaidat?
- Éberség. Mindenekelőtt maradj éber, és soha ne engedj semmi gyanúsat a naptáradba, illetve bármely más, valamilyen célból MI-re támaszkodó rendszerbe.
- Rend. Tarts rendet. Ha valójában nincs szükséged a ChatGPT-re az e-mailekhez, kapcsold ki. Lehet, hogy kipróbáltad, talán még tetszett is, de ha nincs rá valós felhasználási eset — ne habozz, és ne halogasd.
- Korlátok. Már ma is testre szabhatók az MI-integrációk, hogy nagyobb kontrollod legyen afelett, mivel dolgozik a modell, és milyen feltételek mellett férhet hozzá az adatokhoz. Fontold meg minden automatikus rutin kikapcsolását. Igen, ez több kézi jóváhagyást jelent majd, de így biztonságosabb.
- Meglévő védelmek. A Google Naptárban például beállíthatod, hogy csak ismert feladóktól engedjen meghívókat. Ez egy védvonal; használd, amikor csak lehet.
Az OpenAI elismerte a problémát, és a csatlakozók letiltását javasolta. A cég dolgozik az ilyen támadások elleni védekezésen, de ez egy fegyverkezési verseny, ezért érdemes egy előrelátó biztonsági csomagot beszerezni. Itt találsz egyet:
