חברת הסייבר הישראלית Zenity הדגימה בכנס Black Hat 2025 כיצד ניתן לפרוץ ל-ChatGPT ללא כל פעולה מצד המשתמש, להשתלט על חשבונות, ולגשת למידע רגיש. שנה בדיוק לאחר שהציגה כיצד ניתן לנצל את כלי ה-AI של מיקרוסופט כדי לחדור לקבצים ארגוניים, החברה חשפה כי מצב האבטחה בכלי ה-AI הפופולריים הפך למסוכן אפילו יותר.
2 צפייה בגלריה
ChatGPTChatGPT
ChatGPT. חולשה במערכת אפשרה לתוקפים לפרוץ לחשבונות משתמשים
(צילום: Tada Images / Shutterstock)

פריצה ראשונה מסוגה בעולם

בכנס הסייבר, הנחשב למוביל בעולם והתקיים לאחרונה בארה"ב, הדגים המייסד-שותף וה-CTO של החברה, מיכאל ברגורי, כיצד הצליחו חוקרי החברה לפרוץ בזה אחר זה לכלי הבינה המלאכותית הנפוצים ביותר, ובראשם ChatGPT, אולי הצ'אטבוט הפופולרי ביותר וה"פנים" של מהפכת ה-AI.
ההדגמה המטרידה ביותר הייתה פריצת "0 קליק" (Zero Click Attack) ל-ChatGPT - פריצה ראשונה מסוגה בעולם. המשמעות היא שתוקף יכול להשתלט על הצ'אטבוט, להוציא ממנו מידע ולגשת למידע במחשב המשתמש, ללא כל צורך בלחיצה על קישור או ביצוע פעולה אקטיבית כלשהי. Zenity הדגימה כיצד ניתן לבצע את אותה התקפה גם על כלים פופולריים אחרים כמו Copilot Studio ו-Salesforce Einstein.
כדי לבצע את הפריצה ל-ChatGPT, כל שנדרש מהתוקף הוא לדעת את כתובת המייל של המשתמש, מידע שקל יחסית להשיג. ברגורי הראה שמרגע ההתקפה, התוקף מקבל שליטה מלאה על חשבון ChatGPT של המשתמש, כולל על שיחות קיימות ועתידיות.
כדי לבצע את הפריצה ל-ChatGPT, כל שנדרש מהתוקף הוא לדעת את כתובת המייל של המשתמש, מידע שקל יחסית להשיג
שליטה זו מאפשרת לתוקף לגשת לקבצים הנמצאים בגוגל דרייב (Google Drive) של המשתמש, להגדיר יעדים חדשים לצ'אט ולהשפיע על התשובות שהוא יספק – לדוגמה, להמליץ על הורדת וירוס או לספק "טיפים עסקיים" גרועים במטרה לפגוע בעסק.

מי נמצא בסיכון?

לטענת החברה, כל מי שמשתמש ב-ChatGPT עם חיבור לגוגל דרייב, נמצא בסיכון. Zenity טוענת כי לאחר שדיווחה על החולשות, OpenAI ומיקרוסופט הוציאו תיקונים שמטפלים בבעיה. עם זאת, ספקים אחרים סירבו לטפל בפרצות, בטענה שמדובר בהתנהגות מכוונת של המערכת.
כך או כך, התקיפה עושה שימוש בעיקרון בסיסי: אם מידע מהתוקף מגיע למשתמש מסוים, התוקף יכול לנצל חולשות במערכת. במקרה של Zenity, החולשה התאפשרה בזכות היכרות מעמיקה עם המערכת המותקפת, וזיהוי הדרך שבה התוקף יכול להעביר מידע כרצונו אל "שדה הראייה" של מערכת ה-AI, במקרה הזה באמצעות הגוגל דרייב.
2 צפייה בגלריה
מיקרוסופט Copilotמיקרוסופט Copilot
מיקרוסופט Copilot. גם הוא נחשף לאותה חולשה
(מיקרוסופט)
ברגורי התייחס לנושא ואמר: "כולנו משתמשים היום בסוכנים כדי לייעל את העבודה שלנו, והם הולכים ותופסים נפח בחיינו. סוכנים רבים ניגשים למיילים, פותחים תיקיות ושולחים קבצים בשם המשתמשים – זה מצב שהוא כמו 'גן עדן' לתוקפים, כי נקודות החדירה האפשריות הן בלתי נגמרות.
"במציאות שבה הטכנולוגיה מתקדמת הרבה יותר מהר מפתרונות האבטחה, ארגונים חייבים לגלות אחריות ולוודא שהם לא ישלמו בסופו של דבר מחיר הרבה יותר גדול מהחיסכון שהסוכנים הביאו לפתחם".
חברת Zenity הוקמה בשנת 2021 על ידי בן קליגר (מנכ"ל) ומיכאל ברגורי, ומעסיקה כיום כ-110 עובדים ברחבי העולם, מתוכם כ-70 במשרדים בתל אביב. בין לקוחותיה נמנות חברות ענק מרשימות Fortune 100 ו-Fortune 5.