Radware ontdekt nieuw AI-lek ZombieAgent
Radware, speler in applicatiebeveiliging, heeft de ontdekking bekendgemaakt van ZombieAgent. Dit is een nieuw, uiterst gevaarlijk "zero-click" beveiligingslek in de ChatGPT-modellen van OpenAI. De kwetsbaarheid stelt aanvallers in staat om ongemerkt gevoelige data te stelen en autonome AI-aanvallen te verspreiden binnen bedrijfsnetwerken.
Wat is ZombieAgent?
ZombieAgent maakt gebruik van een techniek genaamd Indirect Prompt Injection (IPI). Hierbij worden kwaadaardige instructies verborgen in alledaagse bestanden, zoals e-mails of webpagina's. Zodra een AI-agent deze inhoud verwerkt – bijvoorbeeld bij het samenvatten van een inbox – worden de verborgen commando's geactiveerd.
Het unieke en angstaanjagende aan ZombieAgent is het "zero-click" karakter: de gebruiker hoeft nergens op te klikken om de aanval in gang te zetten. De AI voert de kwaadaardige opdrachten volledig autonoom uit.
Belangrijkste kenmerken van de dreiging:
Permanente manipulatie: De aanval nestelt zich in het langetermijngeheugen of de werknotities van de AI-agent. Hierdoor blijft de aanval actief, zelfs zonder dat de aanvaller opnieuw hoeft in te grijpen.
Worm-achtige verspreiding: De besmette agent kan zichzelf verspreiden door kwaadaardige instructies door te sturen naar contactpersonen of via e-mails, wat kan leiden tot een geautomatiseerde campagne binnen een hele organisatie.
Onzichtbaar voor traditionele beveiliging: Omdat de volledige aanval plaatsvindt binnen de cloud-infrastructuur van OpenAI, wordt er geen dataverkeer geregistreerd op lokale bedrijfssystemen. Traditionele firewalls, antivirusscanners (EDR) en webgateways zien de diefstal van gegevens dus niet.
"ZombieAgent legt een kritieke structurele zwakte bloot in de huidige AI-platformen," zegt Pascal Geenens, vicepresident Threat Intelligence bij Radware. "Bedrijven vertrouwen op deze agents voor besluitvorming, maar hebben geen zicht op hoe deze agents onbetrouwbare content interpreteren. Dit creëert een gevaarlijke blinde vlek."
De "Agentic" revolutie en de risico's
De ontdekking bouwt voort op Radware’s eerdere onderzoek naar het ShadowLeak-lek. Het benadrukt het groeiende gevaar van de zogenaamde "agentic threat surface": het risico dat ontstaat wanneer AI-modellen steeds meer autonomie krijgen om e-mails te lezen, workflows te starten en beslissingen te nemen.
Radware heeft de kwetsbaarheid inmiddels gemeld bij OpenAI via officiële protocollen voor verantwoorde openbaarmaking.
Meer over Security
Over Witold Kepinski
