חוקרי חברת הסייבר הישראלית זניטי (Zenity) פרצו בזה אחר זה לכלי ה-AI הפופולריים ביותר - כך סיפר אתמול (רביעי) מיכאל ברגורי, מייסד משותף וה-CTO של החברה בכנס Black Hat 2025 בארה"ב. ברגרוי הדגים כיצד ניתן לחדור ל-ChatGPT ב-0 click, כלומר לפרוץ לצ'אט ולהוציא ממנו מידע או מידע ממקומות שאליהם יש לו גישה במחשב של המשתמש, מבלי שהמשתמש ילחץ על קישור יעשה פעולה כלשהי. זניטי הצליחו לחדור באופן דומה גם לכלים אחרים כמו Copilot Studio ו-Salesforce Einstein.
לפי ברגורי, על מנת לפרוץ ל-ChatGPT כל מה שהתוקף צריך לדעת זה את כתובת המייל של המשתמש אותו הוא רוצה לתקוף. באמצעותו, התוקף משיג שליטה מלאה על הצ'אט, על השיחות הקיימות וגם על כל שיחה עתידית. ההשתלטות מאפשרת לתוקף לגשת לגוגל דרייב של המשתמש, ואף להגדיר ל-ChatGPT מטרות חדשות בשיחות, ובכך להשפיע על התשובות שיינתנו מכאן ואילך - כמו למשל המלצה על להוריד וירוס מסוים, או אפילו טיפים עסקיים "גרועים" כדי להשפיע על העסק של המשתמש.
כל זה, בהתקפת 0 click שבה למשתמש אין כל דרך להגן על עצמו. לחולשה הזו נחשף כל מי שהשתמש ב-ChatGPT עם חיבור לגוגל דרייב, אך לדברי ברגורי, זו תוקנה לאחרונה לאחר שזניטי דיווחה עליה ל-OpenAI.
ברגורי אמר כי "כולנו משתמשים באייג'נטים או AI assistants, זה מייעל לנו את העבודה, משפר משמעותית את התוצאות ועם הזמן הם יתפסו יותר ויותר נפח בחיינו. אייג'נטים היום עושים כל כך הרבה בשם המשתמשים – ניגשים למיילים, פותחים תיקיות, שולחים קבצים, וזה מצב שהוא מעין 'גן-עדן' לתוקפים, כי נקודות החדירה האפשריות הן בלתי נגמרות. במציאות שבה הטכנולוגיה מתקדמת הרבה יותר מהר מפתרונות האבטחה, ארגונים חייבים לגלות אחריות יתרה ולוודא שהם לא ישלמו מחיר הרבה יותר גדול מהחיסכון וההתייעלות שהסוכנים הביאו לפתחם".
לדברי בן קילגר, שותף מייסד ומנכ"ל זניטי, "האימוץ המהיר של AI Agents יצר שטח תקיפה שרוב הארגונים אפילו לא מודעים לקיומו. המחקר שלנו מראה שגישות האבטחה הקיימות אינן מותאמות לאיך שפועלים האייג'נטים בפועל. בעוד שחברות מבטיחות אבטחה סביב בינה מלאכותית, תוקפים כבר מנצלים את המערכות האלה. זו בדיוק הסיבה שבגללה זניטי פיתחה את פלטפורמת האבטחה הראשונה בתעשייה שמתמקדת בסוכני בינה מלאכותית – כדי לספק לארגונים את רמת השליטה והנראות שהם זקוקים לה בדחיפות".
אילו כלי AI נפרצו - ואיך?
- ChatGPT של OpenAI נפרץ באמצעות מתקפת Prompt Injection שהופעלה דרך כתובת מייל, מה שאיפשר לתוקפים גישה לחשבונות Google Drive מחוברים, שתילת זיכרונות זדוניים, פגיעה בכל סשן עתידי והפיכת ChatGPT לסוכן זדוני.
- סוכן שירות לקוחות של Microsoft Copilot Studio שהוצג על הבמה על ידי מיקרוסופט, הדגים הדלפה של מאגרי CRM שלמים. בנוסף, נמצאו מעל ל-3,000 סוכנים כאלו הפועלים בשטח וחשופים לגילוי כלים פנימיים, מה שהופך אותם לחשודים לניצול.
- Salesforce Einstein הותקף באמצעות יצירה זדונית של קריאות שירות, מה שאיפשר לתוקפים להסיט את כל התקשורת מול הלקוחות לכתובות מייל שבשליטתם.
- Google Gemini ו-Microsoft 365 Copilot הוסבו ל"סוכנים זדוניים" שביצעו הנדסה חברתית למשתמשים והדליפו שיחות רגישות דרך הודעות מייל והזמנות לוח שנה ממולכדות.
- Cursor בשילוב Jira MCP נוצל לגניבת פרטי התחברות של מפתחים, באמצעות תהליכי עבודה ממולכדים בטיקטים.
לפי זניטי, חלק מהחברות, כולל OpenAI ו-Microsoft Copilot Studio, הוציאו תיקונים בעקבות הדיווח על החולשות. עם זאת, חברות אחרות סירבו לטפל בפרצות, בטענה שמדובר בהתנהגות מכוונת של המערכת. התגובות המעורבות מדגישות את הפער הקריטי באופן שבו תעשיית הבינה המלאכותית מתמודדת עם סוגיית אבטחת AI Agents.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו