Volgens het laatste rapport biedt de in de Slack-applicatie geïntegreerde kunstmatige intelligentie een opening voor cybercriminelen: zij kunnen relatief eenvoudig de beveiliging omzeilen en bijvoorbeeld toegang krijgen tot privéberichten van gebruikers. Het is daarom zeker raadzaam om voorzichtig te zijn met wat en naar wie we berichten sturen via deze app.
Dagelijks maken ongeveer 32 miljoen gebruikers gebruik van Slack, en meer dan 750.000 organisaties gebruiken het voor dagelijkse communicatie. Slack wordt niet alleen gebruikt om gesprekken te voeren, grappige GIF’s te delen of bestanden uit te wisselen. Zoals veel andere applicaties heeft Slack het afgelopen jaar ook functies toegevoegd die gebruik maken van generatieve kunstmatige intelligentie.
Slack maakt gebruik van grote taalmodellen (LLM). Deze modellen hebben toegang tot berichten en gegevens in onze Slack-werkruimte om, zoals het bedrijf zegt, productiviteitsfuncties te bieden die specifiek op ons zijn afgestemd.
In de praktijk kan een gebruiker de AI bijvoorbeeld vragen om een samenvatting van een discussie te maken of om een antwoord op een vraag voor te bereiden. Slack gebruikt dan kunstmatige intelligentie om de meest relevante informatie te vinden en te sorteren, die vervolgens naar het LLM-model gaat. Het bedrijf beweert dat LLM standaard lokaal wordt gehost, wat betekent dat onze gegevens Slack niet verlaten.
Het LLM-model genereert vervolgens een antwoord, en Slack stuurt dit terug naar de gebruiker. Later worden de gegevens uit het LLM-model verwijderd en niet in het archief opgeslagen. Bovendien wordt de kunstmatige intelligentie zelf niet getraind op Slack-klantgegevens.
Slack stelt dat gegevens privé blijven
Is het mogelijk dat privéberichten worden misbruikt door de kunstmatige intelligentie van Slack? Volgens het bedrijf gebruikt de AI alleen gegevens waartoe gebruikers op dat moment toegang hebben, en zal het nooit informatie uit privéberichten of kanalen tonen aan mensen die daar oorspronkelijk geen toegang toe hadden. Wanneer we dus de zoekmachine van Slack gebruiken, zal de applicatie nooit resultaten tonen van kanalen of privéberichten waartoe we geen toegang hebben. We zien alleen informatie die we elders al konden lezen.
Berichten die door Slack AI worden gegenereerd zijn bovendien tijdelijk: na verloop van tijd verdwijnen ze, zoals het bedrijf uitlegt, en worden ze niet opgeslagen op apparaten of servers. Hoe lang bewaart AI deze gegevens? De antwoorden verdwijnen zodra we de pagina verlaten.
Dat is de theorie. Maar hoe zit het in de praktijk?
AI is niet zo veilig als Slack beweert
PromptArmor, een bedrijf dat zich bezighoudt met cybersecurity, met name in het domein van AI en generatieve kunstmatige intelligentie, beweert dat Slack vol kwetsbaarheden zit.
De AI geïntegreerd in Slack is onder andere bedoeld om te helpen bij het snel samenvatten van specifieke discussies. De AI heeft toegang tot privéberichten en zou geen gegevens mogen tonen die anderen niet kunnen zien. Echter, PromptArmor merkt op dat de AI misleid kan worden. De oplossing die Slack gebruikt is kwetsbaar voor een zogenaamde prompt-injectieaanval, die toegang geeft tot gegevens uit privékanalen.
Wat is een prompt-injectieaanval? AI-modellen accepteren gebruikersinvoer (tekstuele vragen of opdrachten) en genereren vervolgens een voorspeld antwoord binnen vastgestelde systeemgrenzen. Prompt-injectie is een techniek waarmee systeemopdrachten kunnen worden gewijzigd die de basisprincipes van het AI-model definiëren, waardoor het model onjuist kan gaan werken of beveiligingsrichtlijnen kan omzeilen. Hierdoor kan bijvoorbeeld een antwoord worden verkregen dat aanvankelijk door het model en de dienstverlener niet was toegestaan.
Het probleem dat PromptArmor heeft geïdentificeerd, is dat Slack toestaat gegevens te doorzoeken vanuit zowel openbare als privékanalen, inclusief kanalen waar de gebruiker geen lid van is of niet voor is uitgenodigd. Experts van PromptArmor slaagden erin om het LLM-model van Slack zodanig te manipuleren dat een aanvaller met behulp van een kwaadaardig commando toegang kon krijgen tot bijvoorbeeld privéberichten of bestanden van anderen die worden gedeeld door gebruikers in bepaalde werkruimtes.
Het beveiligingsbedrijf adviseerde beheerders om de toegang tot de AI-functies van Slack te beperken totdat dit probleem is opgelost.
Slack heeft adequaat gereageerd
PromptArmor bracht Slack op de hoogte van zijn bevindingen. Ze verklaarden dat de reactie van Slack aanvankelijk suggereerde dat het bedrijf de risico’s van een prompt-injectie niet volledig begreep.
Pas later bracht Salesforce, de eigenaar van Slack, een passende verklaring uit: “We zijn een onderzoek gestart naar het beschreven scenario.” De techgigant voegde eraan toe dat ze snel een patch hadden geïmplementeerd om het probleem op te lossen en dat er geen bewijs was gevonden van enige eerdere ongeautoriseerde toegang tot klantgegevens.
Als het gaat om applicaties zoals Slack, vooral wanneer we ze op een werkcomputer gebruiken, blijft één aanbeveling van kracht: wees voorzichtig met wat je verstuurt en schrijft – en naar wie.
Het heeft geen zin om jezelf bloot te stellen aan mogelijke stress als later blijkt dat iemand jouw berichten bespioneert of dat er een datalek ontstaat. Voorzichtigheid is altijd de beste verzekering.