Hopp til hovedinnhold
PULSEN_
ESC Tilbake til strømmen
The Hacker News · 2T SIDEN · sikkerhet

Writer-sårbarhet lot én delt lenke kapre KI-kontoer på tvers av selskaper

SYNOPSIS_GENERERT

En nå-patchet sårbarhet i KI-plattformen Writer, døpt WriteOut, lot en angriper kapre andres kontoer på tvers av selskaper med ingenting mer enn en delt forhåndsvisningslenke.

Sand Security Research har avdekket WriteOut, en kritisk feil i sesjonsisolasjonen hos den nå-patchede KI-plattformen Writer. Med bare en lenke kunne en utenforstående gå fra null tilgang til å overta en hvilken som helst Writer-organisasjon, ifølge sikkerhetsselskapet. Angriper og offer trengte ikke tilhøre samme organisasjon.

Angrepskjeden er kort. En angriper bygger en agent med live forhåndsvisning og deler den offentlige lenken. Når en innlogget Writer-bruker åpner den, legger nettleseren ved sesjonscookien. Forhåndsvisnings-proxyen sender cookien inn i angriperens sandkasse, der kode leser sesjonstokenet fra prosessminnet og sender det videre. Angriperen spiller av tokenet og har kontrollen: private chatter, dokumenter, konfigurasjoner, connectorer og LLM-nøkler, og administratortilgang avhengig av offerets rolle.

Det interessante for deg som bygger agenter ligger i hvorfor guardrailene sviktet. «Writer var ikke uforsiktig, det fantes guardrails», sier Sand Security. Input-filteret prøvde å blokkere forsøk på å lese miljøvariabler eller kjøre åpenbart ondsinnet kode. Men det sjekket instruksjonen, ikke hva koden gjorde ved kjøring. I stedet for å lime inn nyttelasten direkte ba forskerne agenten hente og kjøre et eksternt skript. Filteret så en harmløs «last ned og kjør», og selve utnyttelsen dukket aldri opp i prompten.

Hva betyr dette hvis du bygger agenter?

  1. Filtrer på kjøretidsatferd, ikke bare på teksten i prompten: «hent og kjør» skjuler alt som følger.
  2. Aldri videresend brukersesjoner inn i en sandkasse du lar andre kjøre kode i. Writers fiks var å flytte forhåndsvisninger til en isolert origin.
  3. Behandle delte forhåndsvisningslenker som kjørbar kode fra en fremmed, ikke som passiv visning.

KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN