Идеальный сотрудник-хакер: как искусственный интеллект Lenovo сдал с потрохами всю компанию

Lena — это умный чат-бот, созданный компанией Lenovo на базе той же технологии, что и знаменитый ChatGPT. Всё бы ничего, но, как оказалось, этот бот с лёгкостью превращается из вежливого помощника в тайного шпиона — достаточно задать ему правильный вопрос. Это выяснили специалисты по кибербезопасности из Cybernews, и мы не устаём удивляться: кто же вообще читает инструкции по безопасности?

Любопытные хакерские головы взялись за изучение Леночки (так между собой эксперты называют бота) и сумели добыть активные куки-сессии сотрудников клиентской поддержки. А это — ключи ко всем дверям компании: можно спокойно брать чужие аккаунты, шариться по корпоративной сети и вытаскивать конфиденциальные данные на раз-два.

Самое весёлое тут: уязвимость оказалась до смешного простой. Чат-бот запрограммирован на радость клиента — он всегда хочет помочь, какой бы странной ни была просьба. Программа не различает, скрывается ли за заданием добрый друг фирмы или двойной агент. Как поделились исследователи, они написали небольшой, но хитроумный запроса длиной в 400 слов, велели боту выдать ответ в формате HTML — и получили скрытые инструкции по отправке данных на сервер злоумышленников из браузера клиента.

Cybernews признаётся: на их совести только кража сессионных куки. Но возможностей у такой «игрушки» гораздо больше — теоретически можно выполнять системные команды, ставить бэкдоры (тайные дверцы для взлома), и прыгать по сети на другие серверы или ПК.

Lenovo на обращения отреагировала бодро: «Мы защитили свои системы», — но в детали не вдавалась. Исследователи покачивают головами и говорят: ну, это же классика жанра — огромная брешь, а никто не хочет делиться подробностями. Как итог: если вы внедряете чат-бота в свой бизнес, относитесь к каждому его ответу как к потенциально опасному. В информационной мясорубке ты или жуёшь, или тебя жуют.