Slack AI’nin Güvenlik Açıkları Tehlike Saçmaya Devam Ediyor

Slack AI, günlük iş akışını kolaylaştırmak ve verimliliği artırmak amacıyla geçtiğimiz yıl Eylül ayında kullanıma sunulmuştu. Milyonlarca kullanıcının tercih ettiği Slack AI, okunmamış mesajları özetleme, dosya arama ve çeşitli sorulara yanıt verme gibi özellikleriyle dikkat çekiyor. Ancak son zamanlarda güvenlik araştırmacıları, Slack AI’nin hassas bilgileri ve sırları yetkisiz kullanıcılarla paylaşabileceği bir yöntem keşfetti.

Kötü Niyetli Komutlar Slack AI’yi Kandırabilir

PromptArmor adlı güvenlik firması, Slack AI’deki bu açığı bularak Salesforce’a bildirdi. Araştırmacılar, özel bir Slack kanalında paylaşılan API anahtarlarının, dikkatli bir şekilde hazırlanmış komut (prompt) aracılığıyla sızdırılabileceğini gösterdi. Saldırganlar, herkese açık bir Slack kanalı oluşturup kötü niyetli bir komut girerek, Slack AI’nin API anahtarlarını tıklanabilir bir URL aracılığıyla kendilerine göndermesini sağlayabiliyor.

Slack AI’nin Dosya Okuma Özelliği Tehdit Oluşturuyor

Slack AI’nin sadece API anahtarlarını değil, platforma yüklenen dosyaları da okuyabilmesi, saldırganların işini kolaylaştırıyor. Slack AI’yi kandırmak için saldırganların ilgili çalışma alanının üyesi olması bile gerekmiyor. Kötü niyetli komutu bir belgeye gizleyip, sosyal mühendislik yöntemleriyle çalışma alanı üyelerinden birinin bu belgeyi yüklemesini sağlamak yeterli oluyor.

Salesforce Özel Kanallar İçin Yamayı Yayınladı

Salesforce, Slack’in sahibi olarak, özel kanallardaki açığı yamaladığını duyurdu. Ancak herkese açık kanalların hala savunmasız kaldığı belirtiliyor. PromptArmor’a göre Salesforce, herkese açık kanallardaki mesajların, kanala katılmamış olsalar bile çalışma alanındaki tüm üyeler tarafından aranıp görüntülenebileceğini ve bunun amaçlanan bir davranış olduğunu ifade etti.

Slack AI Kullanıcıları Dikkatli Olmalı

Slack AI’nin sunduğu kolaylıklar, beraberinde güvenlik risklerini de getiriyor. Kullanıcıların, özellikle herkese açık kanallarda paylaşılan içeriklere ve yüklenen dosyalara dikkat etmesi gerekiyor. Hassas bilgilerin ve API anahtarlarının Slack AI aracılığıyla sızdırılabileceği unutulmamalı. Şirketler, çalışanlarını bu konuda bilinçlendirmeli ve gerekli önlemleri almalı.