Ένα σημαντικό ζήτημα ασφάλειας ήλθε στο φως πρόσφατα: χάκερ ή ερευνητές ανακάλυψαν τρόπο με τον οποίο το ChatGPT, μέσω κάποιων συνδεδεμένων εφαρμογών (connectors) Gmail και Google Calendar, θα μπορούσε να χρησιμοποιηθεί για να διαρρεύσουν ευαίσθητα email χωρίς οι χρήστες να το καταλάβουν. Το παραπάνω αποκαλείται “ShadowLeak” και έχει προκαλέσει ανησυχία για το πόσο ασφαλή είναι τα δεδομένα όταν δίνουμε AI tools πρόσβαση σε προσωπικούς λογαριασμούς.
Πώς λειτουργεί το ShadowLeak
Πρώτα, ο χρήστης πρέπει να έχει ενεργοποιήσει τη σύνδεση (connector) του Gmail και πιθανόν του Google Calendar στο ChatGPT.
Ένα κακόβουλο invite στο ημερολόγιο μπορεί να εισάγει «εντολές» μέσα στην περιγραφή του γεγονότος (calendar event), οι οποίες όταν αναγνωσθούν από το ChatGPT μέσω του Calendar connector, μπορεί να οδηγήσουν στη διαρροή περιεχομένου από το Gmail.
Ουσιαστικά, αυτό που συμβαίνει είναι prompt injection: δηλαδή, κάποιος εκμεταλλεύεται τη δυνατότητα του μοντέλου να διαβάσει δεδομένα που ο χρήστης έχει επιτρέψει, για να του περάσει εντολές που δεν καταλαβαίνει άμεσα.
Το τρωτό σημείο δεν είναι σε κάποιο hack εξωτερικό, αλλά στο πώς οι λειτουργίες “γνωρίζουν” και “επιτρέπουν” την ανάγνωση περιεχομένου από διαφορετικές πηγές.
Ποιοι είναι οι κίνδυνοι
Απώλεια ιδιωτικότητας: email με προσωπικές πληροφορίες, εργασιακές επικοινωνίες ή ευαίσθητα δεδομένα μπορεί να αποκαλυφθούν, χωρίς ο χρήστης να έχει εμφανή ένδειξη ότι κάτι πήγε στραβά.
Κακόβουλη χρήση προσωπικών δεδομένων: ένας επιτιθέμενος μπορεί να αξιοποιήσει διαρρεύοντα περιεχόμενα για phishing, εκβιασμό, κοινωνική μηχανική.
Έλλειψη awareness: πολλοί χρήστες μπορεί να μην ξέρουν ότι έχουν ενεργούς connectors, ή να μην γνωρίζουν τις ρυθμίσεις που καθιστούν το ημερολόγιο ή οι προσκλήσεις ανοιχτές σε οποιονδήποτε αποστολέα.
Έκθεση σε τρίτους: το πρόβλημα κορυφώνεται εάν κάποιος έχει επιτρέψει αυτόματα την αποδοχή προσκλήσεων ημερολογίου ή αν οι προσκλήσεις του ημερολογίου εμφανίζονται από αποστολείς που δεν γνωρίζει προσωπικά.
Τι έχει γίνει ήδη
Οι ερευνητές έχουν αποκαλύψει τον τρόπο δράσης και πώς διαρρέονται δεδομένα μέσω του συνδυασμού Gmail + Calendar.
Έχουν προταθεί λύσεις, όπως απενεργοποίηση της αυτόματης αποδοχής προσκλήσεων, περιορισμός των αποστολέων που μπορούν να στέλνουν invites, και έλεγχοι στις ρυθμίσεις απορρήτου.
Η εταιρεία πίσω από το ChatGPT έχει αναγνωρίσει το πρόβλημα και δουλεύει σε ενημερωμένες εκδόσεις για να περιορίσει τον κίνδυνο.
Τι μπορείς να κάνεις εσύ
Έλεγξε αν έχεις ενεργοποιήσει οποιονδήποτε connector (π.χ. Gmail ή Calendar) στο ChatGPT — αν δεν τον χρειάζεσαι, απενεργοποίησέ τον.
Ρύθμισε το Google Calendar ώστε να μην αποδέχεται αυτόματα προσκλήσεις από αγνώστους, και να εμφανίζονται μόνο προσκλήσεις από επαληθευμένους αποστολείς.
Απόφυγε να εισάγεις ευαίσθητα προσωπικά ή εργασιακά emails ή έγγραφα σε prompts, ειδικά αν είναι κοινόχρηστα ή προβλέπεται να διαβαστούν από άλλους λογαριασμούς.
Παρακολούθησε ενημερώσεις ασφαλείας από το ChatGPT και σχετικές εφαρμογές, καθώς πιθανόν patches να λύσουν αυτή την τρύπα πλήρως.
Το “ShadowLeak” υπενθυμίζει ότι με την ευκολία που φέρνουν οι AI εργαλεία, μεγαλώνει και το πεδίο κινδύνου. Η σύνδεση με προσωπικά δεδομένα (email, ημερολόγιο) μπορεί να είναι πολύ χρήσιμη — αλλά αν δεν έχεις πλήρη έλεγχο στις ρυθμίσεις και ενημερωθείς σωστά, μπορεί να ανοίξει πόρτες για απρόσμενες διαρροές.
Η λύση βρίσκεται στην προσοχή, την ενημέρωση, αλλά και στις σωστές επιλογές απορρήτου. Όποιος χρησιμοποιεί ChatGPT με συνδέσμους σε Gmail / Calendar θα πρέπει να διασφαλίσει ότι έχει κάνει προσωπικό audit των ρυθμίσεων του — γιατί η πιο μικρή “τρύπα” μπορεί να μετατρέψει την εμπιστοσύνη σε πρόβλημα ασφάλειας.
