Kako bi blokirao napad, OpenAI je ograničio ChatGPT da otvara isključivo javno dostupne URL-ove točno onako kako su navedeni, odbijajući dodavanje parametara, čak i kada je to izričito zatraženo. Time je ShadowLeak blokiran, budući da LLM nije mogao konstruirati nove URL-ove spajanjem riječi ili imena, dodavanjem upitnih parametara ili umetanje podataka koje je korisnik izveo u osnovni URL.
Radwareova prilagodba ZombieAgent bila je jednostavna. Istraživači su revidirali injekciju upita kako bi pružili potpun popis unaprijed konstruiranih URL-ova. Svaki je sadržavao osnovni URL koji je bio dopunjen jednom brojkom ili slovom abecede, na primjer, example.com/a, example.com/b, te svako sljedeće slovo abecede, zajedno s example.com/0 do example.com/9. Upit je također naložio agentu da zamijeni poseban token za razmake.
ZombieAgent je radio jer OpenAI-ovi programeri nisu ograničili dodavanje jednog slova URL-u. To je omogućilo napadu da eksfiltrira podatke slovo po slovo. OpenAI je ublažio napad ZombieAgent ograničavajući ChatGPT da otvara bilo koju poveznicu koja potječe iz e-pošte, osim ako se ne pojavljuje u dobro poznatom javnom indeksu ili nije izravno pružena od strane korisnika u upitu za razgovor. Ova prilagodba ima za cilj spriječiti agenta da otvara osnovne URL-ove koji vode do domena pod kontrolom napadača.
Iskreno, OpenAI nije jedini u ovom beskonačnom ciklusu ublažavanja napada samo da bi se on ponovno pojavio kroz jednostavnu promjenu. Ako su posljednjih pet godina ikakav vodič, ovaj obrazac će vjerojatno trajati neograničeno, na način na koji SQL injekcije i ranjivosti korupcije memorije i dalje pružaju hakerima gorivo koje im je potrebno za kompromitiranje softvera i web stranica.
“Zaštitne mjere ne bi trebale biti smatrane temeljnim rješenjima za probleme s injekcijom upita,” napisao je Pascal Geenens, VP za inteligenciju prijetnji u Radwareu, u e-pošti. “Umjesto toga, one su brzi popravak za zaustavljanje specifičnog napada. Sve dok ne postoji temeljno rješenje, injekcija upita ostat će aktivna prijetnja i pravi rizik za organizacije koje implementiraju AI asistente i agente.”
