过往已有数起数据外泄事故黑客锁定企业组织的协作平台Slack下手而得逞，攻击者往往借由社交工程手段，成功存取机密内容，但如今有研究人员发现，该系统后来加入的人工智能系统存在漏洞，恐加剧相关威胁，因为攻击者在不需得到相关权限的情况下，可借此窃取机密数据。

资安业者PromptArmor指出，提供用户通过自然语言查找Slack消息的AI功能存在缺陷，使得攻击者有机会通过操纵用来生成内容的语言模型，窃取用户输入私人频道的任意内容。

针对这项问题的核心，该资安业者表示此为间接提示注入（Indirect Prompt Injection）弱点，原因是对于开发人员产生的系统提示，以及查找的内容，大型语言模型（LLM）无法正确区分，一旦Slack的AI机器人通过查找的消息取得恶意指令，很有可能会认为恶意指令才是必须处理的内容，但不一定会处理用户的查找。

雪上加霜的是，上述的AI功能在8月14日后，开放能查找用户上传的文件，而有可能增加漏洞带来的危险。对此，Slack在接获研究人员通报后，已在20日部署修补程序来处理相关弱点，并指出在极为有限、特定的情况下，在Slack工作区拥有帐号的攻击者有机会通过网络钓鱼触发漏洞，取得部分数据。该公司强调，目前尚未发现该弱点遭到利用的迹象。

究竟黑客如何利用这项漏洞，PromptArmor指出，攻击者可在不具存取权限的情况下，通过这个弱点窃取开发人员置入私人频道的API密钥，或是其他机密数据。研究人员表示，攻击者无须得知私人频道的内容，就有机会窃取相关数据。

研究人员是怎么发现这个问题的？他们先设置一个情境，让用户存放API密钥于自己所有的私人频道，而攻击者创建新的公开频道，并下达特定的恶意命令，指示LLM在有人询问API密钥时，就会将API密钥作为HTTP参数加入恶意URL，并在Markdown呈现，同时显示点击此处重新验证的消息。接着，一旦有人通过Slack的AI功能询问API密钥，就会将前述攻击者输入的内容串连在一起。

而在此时，AI机器人便会根据攻击者的指令，并呈现黑客引诱用户点击的链接，由于这个链接包含API密钥作为HTTP参数，并将用户的API密钥放入私人频道，一旦用户点击链接，就能让攻击者触发漏洞，视图私人频道事件记录内容挖掘机密数据。

但由于AI机器人并未引用攻击者的消息作为输出来源，而且因为攻击者的消息不会直接出现在搜索结果的第一页，使得这类攻击不仅难以察觉，甚至后续追踪也相当困难。

研究人员指出，上述的漏洞利用攻击，经过稍加调整，也能通过网络钓鱼来进行。而在Slack于AI引入新功能后，他们发现攻击者无须通过直接在Slack输入消息来下达指令，就能触发漏洞。