تم اكتشاف ثلاث ثغرات أمنية في وظائف الامتداد التي يستخدمها ChatGPT لفتح الباب للوصول غير المصرح به بدون نقرة إلى حسابات المستخدمين وخدماتهم، بما في ذلك المستودعات الحساسة على منصات مثل GitHub.
تعمل المكونات الإضافية لـ ChatGPT والإصدارات المخصصة من ChatGPT التي ينشرها المطورون على توسيع إمكانيات نموذج الذكاء الاصطناعي، مما يتيح التفاعلات مع الخدمات الخارجية من خلال منح روبوت الدردشة المولد المعتمد على الذكاء الاصطناعي الشهير الخاص بـ OpenAI الوصول والأذونات لتنفيذ المهام على العديد من مواقع الويب التابعة لجهات خارجية، بما في ذلك GitHub وGoogle Drive .
كشف باحثو مختبرات الملح ثلاث نقاط ضعف خطيرة تؤثر على ChatGPT، يحدث أولها أثناء تثبيت المكونات الإضافية الجديدة، عندما يقوم ChatGPT بإعادة توجيه المستخدمين إلى مواقع المكونات الإضافية للحصول على الموافقة على التعليمات البرمجية. ومن خلال استغلال ذلك، يمكن للمهاجمين خداع المستخدمين للموافقة على التعليمات البرمجية الضارة، مما يؤدي إلى التثبيت التلقائي للمكونات الإضافية غير المصرح بها واحتمال تعرض حساب المتابعة للخطر.
ثانيًا، يفتقر PluginLab، وهو إطار عمل لتطوير المكونات الإضافية، إلى مصادقة المستخدم المناسبة، مما يمكّن المهاجمين من انتحال هوية المستخدمين وتنفيذ عمليات الاستيلاء على الحساب، كما رأينا مع المكون الإضافي "AskTheCode" الذي يربط ChatGPT مع GitHub.
أخيرًا، وجد باحثو سولت أن بعض المكونات الإضافية كانت عرضة للاختراق معالجة إعادة توجيه OAuth، مما يسمح للمهاجمين بإدخال عناوين URL ضارة وسرقة بيانات اعتماد المستخدم، مما يسهل عمليات الاستيلاء على الحساب.
وأشار التقرير إلى أنه تم إصلاح المشكلات منذ ذلك الحين ولم يكن هناك دليل على استغلال الثغرات الأمنية، لذا يجب على المستخدمين تحديث تطبيقاتهم في أقرب وقت ممكن.
تعرض المشكلات الأمنية الخاصة بـ GenAI النظام البيئي الواسع للخطر
يقول يانيف بالماس، نائب رئيس الأبحاث في شركة Salt Security، إن المشكلات التي اكتشفها فريق البحث قد تعرض مئات الآلاف من المستخدمين والمؤسسات للخطر.
يقول: "يجب على قادة الأمن في أي مؤسسة أن يفهموا المخاطر بشكل أفضل، لذا يجب عليهم مراجعة المكونات الإضافية وGPTs التي تستخدمها شركاتهم وما هي حسابات الطرف الثالث التي يتم كشفها من خلال تلك المكونات الإضافية وGPTs". "كنقطة بداية، نقترح إجراء مراجعة أمنية للتعليمات البرمجية الخاصة بهم."
بالنسبة لمطوري المكونات الإضافية وGPT، توصي بالماس المطورين بأن يكونوا على دراية أفضل بالمكونات الداخلية لنظام GenAI البيئي، والتدابير الأمنية المعنية، وكيفية استخدامها، وكيفية إساءة استخدامها. يتضمن ذلك على وجه التحديد البيانات التي يتم إرسالها إلى GenAI، والأذونات الممنوحة لمنصة GenAI أو المكونات الإضافية المتصلة التابعة لجهات خارجية - على سبيل المثال، إذن Google Drive أو GitHub.
يشير بالماس إلى أن فريق أبحاث Salt قام بفحص نسبة صغيرة فقط من هذا النظام البيئي، ويقول إن النتائج تشير إلى وجود خطر أكبر يتعلق بمنصات GenAI الأخرى، والعديد من مكونات GenAI الإضافية الحالية والمستقبلية.
يقول بالماس أيضًا أن OpenAI يجب أن تركز بشكل أكبر على الأمان في وثائقها للمطورين، مما سيساعد في تقليل المخاطر.
من المرجح أن تزداد المخاطر الأمنية للمكونات الإضافية لـ GenAI
توافق سارة جونز، محللة أبحاث استخبارات التهديدات السيبرانية في Critical Start، على أن نتائج Salt Lab تشير إلى أ مخاطر أمنية أوسع المرتبطة بمكونات GenAI الإضافية.
وتقول: "نظرًا لأن GenAI أصبحت أكثر تكاملاً مع سير العمل، فإن نقاط الضعف في المكونات الإضافية يمكن أن توفر للمهاجمين إمكانية الوصول إلى البيانات أو الوظائف الحساسة ضمن منصات مختلفة".
وهذا يؤكد الحاجة إلى معايير أمنية قوية وعمليات تدقيق منتظمة لكل من منصات GenAI وأنظمة المكونات الإضافية الخاصة بها، حيث يبدأ المتسللون في استهداف العيوب في هذه المنصات.
يقول دارين جوتشيوني، الرئيس التنفيذي والمؤسس المشارك لشركة Keeper Security، إن نقاط الضعف هذه بمثابة "تذكير صارخ" حول المخاطر الأمنية الكامنة التي تنطوي عليها تطبيقات الطرف الثالث ويجب أن تدفع المؤسسات إلى دعم دفاعاتها.
ويقول: "بينما تسارع المؤسسات إلى الاستفادة من الذكاء الاصطناعي لاكتساب ميزة تنافسية وتعزيز الكفاءة التشغيلية، فإن الضغط من أجل التنفيذ السريع لهذه الحلول لا ينبغي أن يكون له الأسبقية على التقييمات الأمنية وتدريب الموظفين".
كما أدى انتشار التطبيقات التي تدعم الذكاء الاصطناعي إلى ظهور تحديات في هذا المجال أمن سلسلة توريد البرمجيات، مما يتطلب من المؤسسات تكييف ضوابط الأمان وسياسات إدارة البيانات الخاصة بها.
ويشير إلى أن الموظفين يقومون بشكل متزايد بإدخال بيانات الملكية في أدوات الذكاء الاصطناعي - بما في ذلك الملكية الفكرية، والبيانات المالية، واستراتيجيات الأعمال، والمزيد - ويمكن أن يؤدي الوصول غير المصرح به من قبل جهة فاعلة ضارة إلى إصابة المؤسسة بالشلل.
ويحذر من أن "هجوم الاستيلاء على الحساب الذي يعرض حساب GitHub الخاص بالموظف، أو الحسابات الحساسة الأخرى، يمكن أن يكون له تأثيرات ضارة بنفس القدر".
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/critical-chatgpt-plugin-vulnerabilities-expose-sensitive-data
- :لديها
- :يكون
- :ليس
- $ UP
- 7
- a
- من نحن
- سوء المعاملة
- الوصول
- حسابي
- الحسابات
- تكيف
- تؤثر
- يوافق
- AI
- منظمة العفو الدولية chatbot
- السماح
- أيضا
- an
- المحلل
- و
- أي وقت
- التطبيقات
- موافقة
- التطبيقات
- هي
- AS
- أسوشيتد
- At
- مهاجمة
- التدقيق
- التحقّق من المُستخدم
- أوتوماتيك
- علم
- BE
- يصبح
- كان
- يجري
- أفضل
- أكبر
- على حد سواء
- الأعمال
- by
- قدرات
- يحذر
- الرئيس التنفيذي
- معين
- سلسلة
- التحديات
- chatbot
- شات جي بي تي
- التحقق
- المؤسس المشارك
- الكود
- حول الشركة
- تنافسي
- حل وسط
- متصل
- الرابط
- ضوابط
- استطاع
- أوراق اعتماد
- تشل
- حرج
- على
- الانترنت
- إتلاف
- البيانات
- الدفاعات
- المطورين
- التطوير التجاري
- توثيق
- منتجات الأبواب
- قيادة
- أثناء
- النظام الإيكولوجي
- النظم البيئية
- حافة
- كفاءة
- تشديد
- يؤكد
- موظف
- الموظفين
- توظف
- تمكين
- تعزيز
- الدخول
- بالتساوي
- التقييمات
- دليل
- مثال
- تنفيذ
- القائمة
- استغلال
- استغلال
- مكشوف
- مد
- تمديد
- خارجي
- تيسير
- مالي
- البيانات المالية
- النتائج
- الاسم الأول
- ثابت
- العيوب
- في حالة
- وجدت
- الإطار
- وظائف
- وظائف
- إضافي
- مستقبل
- ربح
- جيناي
- توليدي
- الذكاء الاصطناعي التوليدي
- GitHub جيثب:
- معطى
- شراء مراجعات جوجل
- الحكم
- منح
- قراصنة
- كان
- يملك
- he
- مساعدة
- كيفية
- كيفية
- HTTPS
- مئات
- الآثار
- انتحال
- تنفيذ
- in
- يشمل
- بما فيه
- القيمة الاسمية
- على نحو متزايد
- تشير
- متأصل
- التركيب
- المتكاملة
- فكري
- الملكية الفكرية
- رؤيتنا
- التفاعلات
- إلى
- أدخلت
- المشاركة
- مسائل
- جونز
- JPG
- مختبر
- مختبرات
- قادة
- قيادة
- الرافعة المالية
- مثل
- على الأرجح
- القيام ب
- خبيث
- كثير
- مايو..
- الإجراءات
- نموذج
- الأكثر من ذلك
- يجب
- حاجة
- جديد
- لا
- وأشار
- of
- on
- فقط
- جاكيت
- OpenAI
- تشغيل
- or
- منظمة
- المنظمات
- أخرى
- خارج
- على مدى
- نسبة مئوية
- إذن
- أذونات
- المنصة
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- البوينت
- نقاط
- سياسات الخصوصية والبيع
- الرائج
- ممكن
- محتمل
- رئيس
- الضغط
- لائق
- الملكية
- الملكية
- تزود
- نشرت
- وضع
- بسرعة
- توصي
- تخفيض
- منتظم
- ذات الصلة
- تذكير
- تقرير
- بحث
- الباحثين
- مراجعة
- المخاطرة
- المخاطر
- قوي
- اندفاع
- s
- ملح
- يقول
- أمن
- التدابير الأمنية
- المخاطر الأمنية
- رأيت
- حساس
- أرسلت
- خدمة
- خدماتنا
- هي
- ينبغي
- منذ
- صغير
- So
- الحلول
- قريبا
- على وجه التحديد
- المعايير
- قاس
- بداية
- ابتداء
- استراتيجيات
- اقترح
- تزويد
- سلسلة التوريد
- عرضة
- أخذ
- استيلاء
- المهام
- فريق
- أن
- •
- من مشاركة
- منهم
- هناك.
- تشبه
- هم
- طرف ثالث
- هؤلاء
- الآلاف
- التهديد
- عبر
- إلى
- أدوات
- قادة الإيمان
- خدعة
- غير مصرح
- كشف
- فهم
- تحديث
- تستخدم
- مستخدم
- المستخدمين
- استخدام
- مختلف
- كبير
- الإصدارات
- رذيلة
- Vice President
- نقاط الضعف
- وكان
- we
- المواقع
- كان
- ابحث عن
- متى
- التي
- سوف
- مع
- في غضون
- سير العمل
- سوف
- زفيرنت