Sikkerhetsforskere hos Noma Security har publisert detaljer om GrafanaGhost, en sårbarhetskjede som rammer Grafanas innebygde KI-assistent. Angrepet krever verken innlogging eller at en bruker klikker på noe. Grafana brukes bredt i virksomheter for observabilitet og overvåking, og inneholder typisk finansielle metrikker, kundeinformasjon og infrastrukturdata.
Angrepet kjeder tre separate svakheter i sekvens. Først injiserer angriperen skjulte instruksjoner via en spesialkonstruert URL som Grafana logger. Deretter omgår angrepet domenvalideringen ved å formatere en nettadresse som sikkerhetssjekken leser som trygg, men nettleseren tolker som en ekstern forespørsel. Til slutt deaktiveres KI-modellens egne sikkerhetsmekanismer med et spesifikt nøkkelord som får modellen til å behandle angrepsinstruksjonen som en legitim forespørsel.
«Tradisjonelle SIEM-regler, DLP-verktøy og endepunktovervåking er ikke designet for å avgjøre om en KI-modells utgående kall ble initiert av brukeren eller av en injisert prompt» — Sasi Levi, sårbarhetsforsker hos Noma Labs
Resultatet er stille dataeksfiltrering via en bildetag som KI-assistenten selv initierer. For sikkerhets- og DevOps-team er aktiviteten uatskillelig fra normal KI-atferd.