.svg)
Cybernews opublikowało materiał o poważnych podatnościach w implementacji chatbota AI firmy Lenovo, Leny, opartego na modelu GPT-4 od OpenAI. Lena została zaprojektowana, by wspierać klientów w obsłudze produktów, jednak w praktyce mogła stać się furtką dla cyberprzestępców. Odpowiednio spreparowany prompt wystarczył, by chatbot uruchomił nieautoryzowane skrypty, wykradał ciasteczka sesyjne i otwierał drogę do dalszych nadużyć.
Atak okazał się zaskakująco prosty. Wystarczyło jedno, 400-znakowe polecenie, które zaczynało się od pozornie niewinnej prośby o specyfikację laptopa. Następnie nakazywało zmianę formatu odpowiedzi na HTML, by w treści mogły znaleźć się ukryte instrukcje. Kolejne fragmenty promptu wstrzykiwały kod, który odwoływał się do nieistniejącego obrazu, a kiedy ładowanie kończyło się błędem, przeglądarka wysyłała ciasteczka sesyjne na serwer atakującego. Co gorsza, przechwycone dane nie dotyczyły tylko użytkowników – w momencie przejścia do kontaktu z żywym konsultantem, również jego komputer otwierał spreparowaną odpowiedź chatbota i powtarzał cały proces kradzieży danych.
To odkrycie unaoczniło, jak podatne są systemy oparte na sztucznej inteligencji, gdy brakuje w nich rygorystycznych zabezpieczeń. Modele językowe nie mają instynktu bezpieczeństwa – nie rozpoznają, że coś jest złośliwe, wykonują jedynie polecenia w możliwie najdokładniejszy sposób. Jeżeli nie zostaną otoczone dodatkowymi warstwami kontroli, wówczas nawet proste manipulacje mogą stać się początkiem poważnych incydentów.
Lenovo, po odpowiedzialnym zgłoszeniu problemu, potwierdziło istnienie luk i w krótkim czasie zabezpieczyło swoje systemy. Jednak sam incydent powinien być przestrogą dla całej branży ale też użytkowników sztucznej inteligencji. Dziś firmy prześcigają się we wdrażaniu rozwiązań opartych na AI – chcą być szybkie, nowoczesne, dostępne. Tymczasem bezpieczeństwo często pozostaje w tyle, traktowane jako etap, który można dodać później. Ta luka czasowa pomiędzy entuzjastycznym uruchomieniem a właściwą ochroną jest dokładnie tym miejscem, w którym atakujący znajdują dla siebie przestrzeń.
Nie chodzi tylko o wykradanie ciasteczek. W podobny sposób można by spróbować wstrzykiwać inny kod – taki, który zmienia wygląd interfejsu, przekierowuje na fałszywe strony, instaluje backdoory czy zbiera każde naciśnięcie klawisza. Każdy z tych scenariuszy pokazuje, że problem nie dotyczy wyłącznie Lenovo. Każdy chatbot, każda implementacja AI, która nie została odpowiednio zabezpieczona, potencjalnie otwiera drzwi do infrastruktury firmy.
Wnioski płynące z tej historii są proste: dane wprowadzane do systemu AI należy traktować z dużą ostrożnością, a odpowiedzi chatbota zawsze sprawdzać i filtrować. W świecie, w którym sztuczna inteligencja coraz częściej wspiera obsługę klienta czy procesy biznesowe, nie można zakładać jej bezbłędności ani bezpieczeństwa. Zabezpieczenia muszą być obecne od pierwszego dnia wdrożenia, a nie dokładane dopiero wtedy, gdy wydarzy się incydent. Firmy, które o tym zapominają, narażają się nie tylko na utratę danych, ale też reputacji i zaufania klientów. Lenovo wyciągnęło wnioski i załatało luki, ale pytanie pozostaje: ile innych chatbotów, uruchomionych w pośpiechu, wciąż działa dziś bez realnej ochrony?
Firmy włączające AI do swoich systemów powinny pamiętać o zabezpieczeniach:
- Sanityzacja wejścia – filtrowanie i ograniczanie tego, co użytkownicy mogą wprowadzać.
- Sanityzacja wyjścia – czyszczenie odpowiedzi chatbota z kodu, zanim trafią do przeglądarki czy systemów wewnętrznych.
- Content Security Policy (CSP) – restrykcje dotyczące tego, jakie zasoby może ładować przeglądarka.
- Unikanie inline JavaScript i ograniczenie uprawnień aplikacji.
- Zasada „zero trust” wobec danych generowanych przez AI.
- Output chatbota należy traktować jako potencjalnie niebezpieczny. Tylko stała walidacja i monitorowanie pozwalają korzystać z takich systemów w sposób bezpieczny.
Choć w tej historii odpowiedzialność spada głównie na firmę, warto pamiętać, że użytkownicy również nie są bezbronni. Każdy z nas korzysta z chatbotów czy systemów AI – w obsłudze klienta, aplikacjach bankowych, a czasem nawet w pracy. I choć naturalnie zakładamy, że producent zadbał o bezpieczeństwo, prawda jest taka, że nigdy nie mamy pełnej pewności, jak chronione są nasze dane ani jakie luki mogą istnieć. Dlatego rozsądnie jest traktować każdą rozmowę z AI z odrobiną sceptycyzmu i stosować kilka prostych zasad ostrożności.
Jeśli korzystasz z AI - zawodowo lub nawet rozrywkowo, pamiętaj o kilku ważnych zasadach:
1. Nie podawaj wrażliwych danych
Niezależnie od tego, czy to numer karty, PESEL, dane logowania czy nawet prywatne dokumenty – nie zakładaj, że AI jest bezpiecznym sejfem. Modele mogą zapisywać lub przesyłać dane w sposób, którego nie widzisz.
2. Ostrożnie z linkami i załącznikami
Jeśli chatbot wyświetla link, obrazek albo zachęca do kliknięcia w dodatkowe materiały, potraktuj to tak samo jak podejrzany link w mailu. Nie klikaj bez zastanowienia – zwłaszcza jeśli wygląda dziwnie, prowadzi poza oficjalną domenę firmy albo zawiera przekierowania.
3. Traktuj odpowiedzi jako niezweryfikowane
AI potrafi wygenerować HTML, kod, a nawet skrypty. Nigdy nie kopiuj ich w ciemno do własnych systemów ani na komputer firmowy. Jeśli chatbot poda kod czy fragment konfiguracji – sprawdź go dwa razy zanim użyjesz.
4. Używaj AI w izolacji
Jeżeli testujesz coś, co może być „ryzykowne” (np. fragmenty kodu, generowane pliki), rób to na oddzielnej maszynie, w środowisku testowym albo choćby w piaskownicy, nie na głównym komputerze, którego używasz do pracy i logowania.
5. Nie zakładaj, że producent „wszystko ogarnął”
Historia Leny pokazuje, że nawet wielkie firmy mogą przeoczyć krytyczne luki. Zaufanie do marki nie powinno zastępować zdrowego rozsądku.
6. Aktualizuj i korzystaj z zabezpieczeń
Upewnij się, że masz aktualną przeglądarkę, system i antywirusa. Wiele ataków działa tylko dlatego, że użytkownik ma niezałatane oprogramowanie.
Można to streścić jednym zdaniem: traktuj AI tak, jakbyś rozmawiał z obcym w internecie – nigdy nie zdradzaj za dużo i nigdy nie zakładaj pełnego bezpieczeństwa.
