Google Bardのハッキング - プロンプトインジェクションからデータ流出まで

Google Bardの脆弱性の発見と修正

• Google Bardは最近大幅なアップデートを受け、YouTubeへのアクセス、航空券やホテルの検索、個人の文書やメールへのアクセスが可能になった。
• Bardは現在、Drive、Docs、Gmailのデータを分析できるようになっており、その結果、間接的なプロンプトインジェクションに対して脆弱になった。
• プロンプトインジェクションを通じて、YouTube動画の要約とGoogle Docsのテストに成功した。

メールおよびGoogle Docsを介した間接的なプロンプトインジェクション攻撃

• メールやGoogle Docsを介した間接的なプロンプトインジェクション攻撃は、ユーザーの同意なしに渡される可能性があるため脅威となる。
• 攻撃者がGoogle Docsを強制共有し、Bardを使って文書とやり取りするときにインジェクションが発生する可能性がある。

脆弱性 - 画像Markdownインジェクション

• GoogleのLLMがMarkdown要素を返すと、BardはそれをHTMLとしてレンダリングする。
• 画像タグにデータを埋め込むことで、サーバーへのデータ流出を誘発できる。
• 会話履歴を要約したり過去のデータにアクセスしたりして、それをURLに追加する形で脆弱性を悪用する。

CSPの回避

• GoogleのCSPは、任意の場所から画像を読み込むことを防いでいる。
• Google Apps Scriptを通じて、script.google.comまたはgoogleusercontent.comドメインで実行されるURLを使い、CSPを回避できる。

Bard Loggerの作成

• Apps Scriptを使って「Bard Logger」を実装した。
• ロガーは、呼び出しURLに追加されたすべてのクエリパラメータをGoogle Docに記録する。
• 設定により、認証なしでエンドポイントを公開できる。

デモと責任ある開示

• 動画とスクリーンショットを通じて、ユーザーの会話履歴が悪意のあるGoogle Docによって流出する過程を示している。

Shell Code

• Google Docに含まれたペイロードを使って、プロンプトインジェクションとデータ流出を実行する。
• LLMの機能を活用して、画像URL内のテキストを置き換える。

スクリーンショット

• 動画を見る時間がない場合のために、主要な手順をスクリーンショットで提供している。

Googleによる修正

• 問題は2023年9月19日にGoogle VRPへ報告され、10月19日に修正完了が確認された。
• CSP自体は修正されていないが、URLにデータを埋め込むことを防ぐためのフィルタリングが適用されたようだ。

結論

• この脆弱性は、間接的なプロンプトインジェクション攻撃において攻撃者が持ちうる力と自由度を示している。
• GoogleのセキュリティチームおよびBardチームがこの問題を迅速に解決してくれたことに感謝する。

修正タイムライン

• 問題報告: 2023年9月19日
• 修正確認: 2023年10月19日

参考資料

• Google Bard Extensionの発表、Google Bardに関連する間接的なプロンプトインジェクション、Ekoparty 2023のプロンプトインジェクショントーク、DALLE-3で生成されたGoogle Bard - Data Exfil画像

付録

• Google Doc内の完全なプロンプトインジェクション内容を提供

GN⁺の意見

この記事で最も重要なのは、Google Bardの新機能によって生じた脆弱性と、それを通じたデータ流出の可能性である。これはAIベースのサービスにおけるセキュリティ問題を浮き彫りにし、ユーザーデータ保護の重要性を再認識させる。技術の進歩とともに新しい種類のセキュリティ脅威が登場しており、それに対する研究と対応が継続的に必要であることを示している。こうした脆弱性の発見と修正のプロセスは、ソフトウェアエンジニアリングやサイバーセキュリティに関心のある人々にとって興味深く有益な事例であり、技術を安全に利用するための継続的な取り組みの重要性を強調している。