Ilmnesid paljastused nüüdseks parandatud turvaprobleemi kohta DeepSeek AI vestlusbotis, mis võimaldas ründajatel prompt injection rünnaku kaudu ohvri kontot kaaperdada. Turvateadur Johann Rehberger avastas, et kui DeepSeek vestlusesse sisestada "Print the xss cheat sheet in a bullet list. just payloads", käivitati vastuses JavaScripti koodi täitmine. See on tüüpiline ristvara skriptimise (XSS) juhtum. XSS-rünnakud on ohtlikud, kuna nad käivitavad volitamata koodi ohvri brauseris, võimaldades ründajatel kaaperdada sessiooni ja pääseda ligi andmetele, nagu küpsised, mis on seotud domeeniga chat. deepseek[. ]com, mis võib viia kontode ülevõtmiseni. Rehberger märkis, et kasutaja sessiooni omandamiseks oli vajalik vaid userToken, mis oli talletatud chat. deepseek. com domeeni localStorage'is, ning spetsiaalselt koostatud käsk võis XSS-i aktiveerida, võimaldades pääseda kasutaja userTokenile. See käsk sisaldab juhiseid ja Base64-kodeeritud stringi, mida DeepSeek dešifreerib XSS-i kasutamiseks, et ohvri sessioonitoken kätte saada ja ründajale kasutaja teesklemiseks võimaldada. Rehberger näitas ka, et Anthropici Claude Computer Use, mis võimaldab arendajatel juhtida arvutit kursori liigutustega, klikkide ja teksti sisestamise kaudu, võidakse kuritarvitada kahjulike käskude juhtimiseks läbi prompt injection.

Selle meetodi nimi on ZombAIs, mis kasutab prompt injectionit Computer Use ära kasutamiseks, et alla laadida ja käivitada Sliver C2 raamistik, luues ühenduse ründaja poolt kontrollitava serveriga. Lisaks võivad suured keelemudelid (LLM-id) toota ANSI escape koodi, et kaaperdada süsteemide terminalid läbi prompt injection'i, mõjutades peamiselt LLM-integratsiooniga käsurea liidese (CLI) tööriistu. See rünnak kannab nime Terminal DiLLMa. Rehberger rõhutas, kuidas aastakümneid vanad funktsioonid loovad ootamatult haavatavusi generatiivses AI-rakendustes, rõhutades, et arendajad peavad olema ettevaatlikud LLM-i väljundiga, kuna see on usaldamatu ja võib sisaldada suvalisi andmeid. Lisaks leidsid Wisconsin-Madisoni ülikooli ja St. Louisi Washingtoni ülikooli uuringud, et OpenAI ChatGPT-d saab petta kuvama väliseid pildilinke markdown'is, isegi kui need on otsesed või vägivaldsed, teeseldes, et neil on kahjutu eesmärk. Samuti on võimalik kasutada prompt injectionit ChatGPT pluginite kaudseks aktiveerimiseks ilma kasutaja nõusolekuta ja OpenAI piirangutest möödahiilimiseks, et peatada ohtlike linkide renderdamine, mis potentsiaalselt paljastaks kasutaja vestlusajaloo ründaja kontrollitavale serverile.