Mise à jour de Slack AI, un service d’assistance supplémentaire disponible pour les utilisateurs du service de messagerie en équipe de Salesforce, est vulnérable aux injections de commandes, selon la société de sécurité PromptArmor. Le service AI fournit des outils générateurs au sein de Slack pour des tâches telles que la résumé des longues conversations, la recherche de réponses aux questions et la synthèse de canaux rarement visités. « Slack AI utilise les données de conversation déjà présentes dans Slack pour créer une expérience AI intuitive et sécurisée adaptée à vous et à votre organisation », explique le fournisseur d’application de messagerie dans sa documentation. Sauf que ce n’est pas si sécurisé, comme le dit PromptArmor. Une vulnérabilité d’injection de commande dans Slack AI permet de récupérer des données provenant de canaux privés dans Slack. Les modèles AI générateurs acceptent les invitations d’utilisateurs – des questions de texte ou des instructions – en tant que saisie et produisent ensuite une sortie prédictive en réponse, dans les limites établies par une instruction système prédéfinie. L’injection de commande est une technique visant à modifier l’instruction système qui définit les ordres de base du modèle, de sorte que le modèle se comporte mal ou que les interactions ultérieures ne soient pas contraintes par les directives de sécurité.
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du