Faille de sécurité Slack : sa fonction d’IA peut pirater vos conversations privées, selon un rapport

L’IA empiète sur toutes les applications, et dans certains cas, cela pourrait être un problème.

Prenons l’exemple de Slack. L’application de messagerie instantanée pour le lieu de travail dispose d’un suite optionnelle de fonctionnalités d’IA vous pouvez payer un supplément, mais selon l’entreprise de sécurité Armure rapideil est plein de failles potentielles. La fonctionnalité existe pour aider à créer des résumés rapides de conversations, mais selon PromptArmor, elle le fait avec un accès à des DM privés et peut être amenée à hameçonner d’autres utilisateurs.

Les détails techniques sont tous dans le billet de blog PromptArmor, mais le problème ici est essentiellement double. Pour commencer, Slack a récemment mis à jour son système d’IA pour pouvoir extraire des données des messages privés des utilisateurs et des téléchargements de fichiers exprès. Au-delà de cela, en utilisant une technique appelée « injection rapide », PromptArmor a prouvé que vous pouvez utiliser Slack AI pour créer des liens malveillants qui pourraient potentiellement hameçonner les membres dudit canal Slack.

Mashable a contacté Slack pour obtenir des commentaires à ce sujet. Selon le blog de PromptArmor, le problème a été soulevé auprès de Slack avant la publication de son article de blog. Un porte-parole de SalesForce, la société mère de Slack, a déclaré Le registre que le problème a été abordé, mais n’entre pas dans les détails.

« Lorsque nous avons pris connaissance du rapport, nous avons lancé une enquête sur le scénario décrit dans lequel, dans des circonstances très limitées et spécifiques, un acteur malveillant disposant d’un compte existant dans le même espace de travail Slack pourrait hameçonner des utilisateurs pour obtenir des données sensibles », a déclaré le porte-parole de SalesForce. « Nous avons déployé un correctif pour résoudre le problème et n’avons pour l’instant aucune preuve d’un accès non autorisé aux données des clients. »

À tout le moins, il vaut probablement la peine de consulter les politiques d’IA déclarées pour chaque application que vous utilisez régulièrement.