La empresa de seguridad PromptArmor ha identificado una vulnerabilidad en Slack AI, el servicio de inteligencia artificial de Slack. Según recoge The Register, este fallo permite inyectar comandos a la IA para que exponga datos sensibles, incluyendo información de canales privados, mediante un ataque dirigido.
Slack AI, diseñado para facilitar la colaboración dentro de la plataforma de mensajería, utiliza datos de conversaciones existentes para generar resúmenes y respuestas a preguntas de los usuarios. Sin embargo, PromptArmor descubrió que es posible manipular el comportamiento de la IA de Slack mediante la inyección de instrucciones (prompts) maliciosas. Este proceso permite modificar las órdenes básicas del modelo de IA, logrando que se comporte de una manera no prevista y potencialmente peligrosa.
El principal problema detectado por la empresa de seguridad sería que Slack AI puede acceder tanto a canales públicos como privados, incluso si un usuario no forma parte de esos canales. Según PromptArmor, Slack considera este comportamiento como intencionado, pero la empresa de seguridad advierte de que puede ser explotado. “Demostramos cómo este comportamiento permitirá a un atacante exfiltrar claves API que un desarrollador puso en un canal privado”, señala PromptArmor.
El ataque descrito por PromptArmor comienza cuando un usuario de Slack coloca una clave API en un canal privado. Tras esto, el atacante crea un canal público y publica una solicitud maliciosa, diseñada para que Slack AI capture y envíe la clave API a una página web controlada por el atacante. El proceso se puede llevar a cabo porque cualquier persona en el espacio de trabajo, incluyendo Slack AI, puede acceder al contenido de canales públicos.
La situación se ha agravado tras la actualización de Slack del pasado 14 de agosto, que permite a Slack AI incluir archivos de canales y mensajes directos en sus respuestas, convirtiendo estos en nuevos objetivos de robos y en posibles vectores para ataques, como advierte PromptArmor. La empresa de seguridad aconseja a los administradores de Slack que restrinjan el acceso de Slack AI a documentos hasta que se resuelva este problema.
