最近，安全公司 PromptArmor 曝光了 Slack AI 的一個嚴(yán)重安全漏洞，稱其容易受到惡意提示注入攻擊。Slack AI 是 Salesforce 團(tuán)隊通訊服務(wù)中的一個附加服務(wù)，主要用于生成性工具，比如總結(jié)長對話、回答問題和匯總不常訪問的頻道信息。然而，PromptArmor 表示，這個服務(wù)并不像它宣稱的那樣安全。

漏洞的核心在于，Slack 允許用戶查詢公共和私密頻道的數(shù)據(jù)，包括用戶未加入的公共頻道。PromptArmor 認(rèn)為，雖然 Slack 方面認(rèn)為這是正常行為卻給了攻擊可乘之機(jī)。

具體的攻擊方式是這樣的:攻擊者可以在某個私密頻道中放置一個 API 密鑰，而該密鑰僅對頻道內(nèi)的用戶可見。隨后，攻擊者創(chuàng)建一個公共頻道，并輸入一個惡意的提示。當(dāng) Slack AI 處理這些查詢時，AI 會把攻擊者的提示內(nèi)容作為上下文的一部分引入來，然后按照指令生成內(nèi)容。例如，攻擊者可能會在提示中添加一個鏈接，點擊后就會把 API 密鑰數(shù)據(jù)發(fā)送到攻擊者的服務(wù)器上。

更為糟糕的是，Slack 在8月14日的更新中添加了文件共享功能，意味著用戶在頻道和私信中的文件也可能成為泄露目標(biāo)。攻擊者甚至可以利用帶有隱藏惡意指令的 PDF 文件進(jìn)行攻擊，用戶一旦上傳該文件，后果不堪設(shè)想。

PromptArmor 建議 Slack 的工作區(qū)管理員應(yīng)當(dāng)限制 Slack 對文檔的訪問，直到問題解決為止。盡管 PromptArmor 已將其發(fā)現(xiàn)告知 Slack，Slack 卻表示，公開頻道中的消息可以被工作區(qū)的所有成員搜索和查看，即使他們沒有加入該頻道。對此，PromptArmor 認(rèn)為 Slack 對提示注入所帶來的風(fēng)險理解不足。

Slack 目前尚未對此漏洞做出回應(yīng)，用戶們漏洞的擔(dān)憂也在增加。