এক্সটেনশন ফাংশনে তিনটি নিরাপত্তা দুর্বলতা খুঁজে পাওয়া গেছে যা ChatGPT ব্যবহার করে GitHub-এর মতো প্ল্যাটফর্মে সংবেদনশীল সংগ্রহস্থল সহ ব্যবহারকারীদের অ্যাকাউন্ট এবং পরিষেবাগুলিতে অননুমোদিত, শূন্য-ক্লিক অ্যাক্সেসের দরজা খুলে দেয়।
ডেভেলপারদের দ্বারা প্রকাশিত ChatGPT-এর ChatGPT প্লাগ-ইন এবং কাস্টম সংস্করণগুলি এআই মডেলের ক্ষমতাকে প্রসারিত করে, ওপেনএআই-এর জনপ্রিয় জেনারেটিভ এআই চ্যাটবট অ্যাক্সেস এবং গিটহাব এবং গুগল ড্রাইভ সহ বিভিন্ন তৃতীয় পক্ষের ওয়েবসাইটগুলিতে কাজগুলি চালানোর অনুমতি প্রদান করে বহিরাগত পরিষেবাগুলির সাথে মিথস্ক্রিয়া সক্ষম করে। .
সল্ট ল্যাবের গবেষকরা এ তথ্য প্রকাশ করেছেন তিনটি গুরুতর দুর্বলতা যা ChatGPT কে প্রভাবিত করে, যার মধ্যে প্রথমটি ঘটে নতুন প্লাগ-ইন ইনস্টল করার সময়, যখন ChatGPT ব্যবহারকারীদের কোড অনুমোদনের জন্য প্লাগ-ইন ওয়েবসাইটগুলিতে পুনঃনির্দেশ করে। এটিকে কাজে লাগিয়ে, আক্রমণকারীরা ব্যবহারকারীদের দূষিত কোড অনুমোদনের জন্য প্রতারণা করতে পারে, যার ফলে অননুমোদিত প্লাগ-ইনগুলির স্বয়ংক্রিয় ইনস্টলেশন এবং সম্ভাব্য ফলো-অন অ্যাকাউন্ট আপস হতে পারে।
দ্বিতীয়ত, PluginLab, প্লাগ-ইন ডেভেলপমেন্টের জন্য একটি কাঠামো, সঠিক ব্যবহারকারীর প্রমাণীকরণের অভাব রয়েছে, যা আক্রমণকারীদের ব্যবহারকারীদের ছদ্মবেশ ধারণ করতে এবং অ্যাকাউন্ট টেকওভার কার্যকর করতে সক্ষম করে, যেমনটি GitHub-এর সাথে ChatGPT-কে সংযোগকারী "AskTheCode" প্লাগ-ইন দ্বারা দেখা যায়।
অবশেষে, লবণ গবেষকরা খুঁজে পেয়েছেন যে নির্দিষ্ট প্লাগ-ইনগুলি সংবেদনশীল OAuth পুনর্নির্দেশ ম্যানিপুলেশন, আক্রমণকারীদের দূষিত URL সন্নিবেশ করতে এবং ব্যবহারকারীর শংসাপত্র চুরি করার অনুমতি দেয়, আরও অ্যাকাউন্ট টেকওভারের সুবিধা দেয়৷
প্রতিবেদনে উল্লেখ করা হয়েছে যে সমস্যাগুলি ঠিক করা হয়েছে এবং দুর্বলতাগুলিকে কাজে লাগানো হয়েছে এমন কোনও প্রমাণ নেই, তাই ব্যবহারকারীদের যত তাড়াতাড়ি সম্ভব তাদের অ্যাপ আপডেট করা উচিত।
GenAI নিরাপত্তা সমস্যা বিশাল ইকোসিস্টেমকে ঝুঁকির মধ্যে ফেলেছে
সল্ট সিকিউরিটির গবেষণার ভাইস প্রেসিডেন্ট ইয়ানিভ বালমাস বলেছেন, গবেষণা দল যে সমস্যাগুলি খুঁজে পেয়েছে তা কয়েক হাজার ব্যবহারকারী এবং সংস্থাকে ঝুঁকিতে ফেলতে পারে।
"যেকোনো সংস্থার নিরাপত্তা নেতাদের অবশ্যই ঝুঁকিটি আরও ভালভাবে বুঝতে হবে, তাই তাদের উচিত পর্যালোচনা করা উচিত যে তাদের কোম্পানি কোন প্লাগ-ইন এবং GPT ব্যবহার করছে এবং কোন তৃতীয় পক্ষের অ্যাকাউন্টগুলি সেই প্লাগ-ইন এবং GPTগুলির মাধ্যমে প্রকাশ করা হয়েছে," তিনি বলেছেন৷ "একটি প্রারম্ভিক বিন্দু হিসাবে, আমরা তাদের কোডের একটি নিরাপত্তা পর্যালোচনা করার পরামর্শ দেব।"
প্লাগ-ইন এবং জিপিটি ডেভেলপারদের জন্য, বালমাস ডেভেলপারদের GenAI ইকোসিস্টেমের অভ্যন্তরীণ অংশ, জড়িত নিরাপত্তা ব্যবস্থা, কীভাবে সেগুলি ব্যবহার করতে হয় এবং কীভাবে তাদের অপব্যবহার করতে হয় সে সম্পর্কে আরও ভালভাবে সচেতন হওয়ার পরামর্শ দেয়৷ এতে বিশেষভাবে অন্তর্ভুক্ত থাকে যে GenAI-তে কোন ডেটা পাঠানো হচ্ছে এবং GenAI প্ল্যাটফর্ম বা সংযুক্ত তৃতীয়-পক্ষ প্লাগ-ইন-কে কী অনুমতি দেওয়া হয়েছে — উদাহরণস্বরূপ, Google Drive বা GitHub-এর অনুমতি৷
বালমাস উল্লেখ করেছেন যে সল্ট গবেষণা দল শুধুমাত্র এই বাস্তুতন্ত্রের একটি ছোট শতাংশ পরীক্ষা করেছে, এবং বলে যে ফলাফলগুলি ইঙ্গিত করে যে অন্যান্য GenAI প্ল্যাটফর্ম এবং অনেক বিদ্যমান এবং ভবিষ্যতের GenAI প্লাগ-ইনগুলির সাথে প্রাসঙ্গিক একটি বড় ঝুঁকি রয়েছে।
বালমাস আরও বলেছেন যে ওপেনএআই-এর উচিত ডেভেলপারদের জন্য তাদের ডকুমেন্টেশনে নিরাপত্তার ওপর বেশি জোর দেওয়া, যা ঝুঁকি কমাতে সাহায্য করবে।
GenAI প্লাগ-ইন নিরাপত্তা ঝুঁকি বাড়তে পারে
ক্রিটিক্যাল স্টার্টের সাইবার থ্রেট ইন্টেলিজেন্স রিসার্চ বিশ্লেষক সারা জোনস সম্মত হন যে সল্ট ল্যাবের ফলাফলগুলি একটি পরামর্শ দেয় বৃহত্তর নিরাপত্তা ঝুঁকি GenAI প্লাগ-ইনগুলির সাথে যুক্ত।
"যেহেতু GenAI ওয়ার্কফ্লোগুলির সাথে আরও একীভূত হয়, প্লাগ-ইনগুলির দুর্বলতা আক্রমণকারীদের বিভিন্ন প্ল্যাটফর্মের মধ্যে সংবেদনশীল ডেটা বা কার্যকারিতাগুলিতে অ্যাক্সেস প্রদান করতে পারে," সে বলে৷
এটি GenAI প্ল্যাটফর্ম এবং তাদের প্লাগ-ইন ইকোসিস্টেম উভয়ের জন্য শক্তিশালী নিরাপত্তা মান এবং নিয়মিত অডিটের প্রয়োজনীয়তার উপর জোর দেয়, যেহেতু হ্যাকাররা শুরু করে। এই প্ল্যাটফর্মে লক্ষ্য ত্রুটি.
কিপার সিকিউরিটির সিইও এবং সহ-প্রতিষ্ঠাতা ড্যারেন গুসিওন বলেছেন যে এই দুর্বলতাগুলি তৃতীয় পক্ষের অ্যাপ্লিকেশনগুলির সাথে জড়িত অন্তর্নিহিত সুরক্ষা ঝুঁকি সম্পর্কে একটি "আকাঙ্ক্ষিত অনুস্মারক" হিসাবে কাজ করে এবং সংস্থাগুলিকে তাদের প্রতিরক্ষা ব্যবস্থা জোরদার করার জন্য প্ররোচিত করা উচিত।
"যেহেতু সংস্থাগুলি প্রতিযোগিতামূলক প্রান্ত অর্জন করতে এবং কার্যক্ষম দক্ষতা বাড়াতে AI-এর সুবিধা নিতে ছুটে যায়, তাই এই সমাধানগুলি দ্রুত বাস্তবায়নের চাপ নিরাপত্তা মূল্যায়ন এবং কর্মচারী প্রশিক্ষণের উপর প্রাধান্য দেওয়া উচিত নয়," তিনি বলেছেন।
এআই-সক্ষম অ্যাপ্লিকেশনের প্রসারও চ্যালেঞ্জের সূচনা করেছে সফ্টওয়্যার সরবরাহ চেইন সুরক্ষা, সংস্থাগুলিকে তাদের নিরাপত্তা নিয়ন্ত্রণ এবং ডেটা গভর্নেন্স নীতিগুলিকে মানিয়ে নিতে হবে৷
তিনি উল্লেখ করেছেন যে কর্মীরা ক্রমবর্ধমানভাবে এআই সরঞ্জামগুলিতে মালিকানাধীন ডেটা প্রবেশ করছে — মেধা সম্পত্তি, আর্থিক ডেটা, ব্যবসার কৌশল এবং আরও অনেক কিছু সহ — এবং কোনও দূষিত অভিনেতার অননুমোদিত অ্যাক্সেস কোনও সংস্থার জন্য পঙ্গু হতে পারে।
"একটি অ্যাকাউন্ট টেকওভার আক্রমণ একজন কর্মচারীর GitHub অ্যাকাউন্ট, বা অন্যান্য সংবেদনশীল অ্যাকাউন্টগুলিকে বিপন্ন করে, সমানভাবে ক্ষতিকারক প্রভাব ফেলতে পারে," তিনি সতর্ক করেন।
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/vulnerabilities-threats/critical-chatgpt-plugin-vulnerabilities-expose-sensitive-data
- : আছে
- : হয়
- :না
- $ ইউপি
- 7
- a
- সম্পর্কে
- অপব্যবহার
- প্রবেশ
- হিসাব
- অ্যাকাউন্টস
- খাপ খাওয়ানো
- প্রভাবিত
- সম্মত
- AI
- এআই চ্যাটবট
- অনুমতি
- এছাড়াও
- an
- বিশ্লেষক
- এবং
- কোন
- অ্যাপ্লিকেশন
- অনুমোদন
- অ্যাপস
- রয়েছি
- AS
- যুক্ত
- At
- আক্রমণ
- অডিট
- প্রমাণীকরণ
- স্বয়ংক্রিয়
- সচেতন
- BE
- হয়ে
- হয়েছে
- হচ্ছে
- উত্তম
- বড়
- উভয়
- ব্যবসায়
- by
- ক্ষমতা
- সতর্কতা
- সিইও
- কিছু
- চেন
- চ্যালেঞ্জ
- chatbot
- চ্যাটজিপিটি
- চেক করা হয়েছে
- সহ - প্রতিষ্ঠাতা
- কোড
- কোম্পানি
- প্রতিযোগিতামূলক
- আপস
- সংযুক্ত
- সংযোজক
- নিয়ন্ত্রণগুলি
- পারা
- পরিচয়পত্র
- পঙ্গু
- সংকটপূর্ণ
- প্রথা
- সাইবার
- ক্ষতিকর
- উপাত্ত
- প্রতিবন্ধক
- ডেভেলপারদের
- উন্নয়ন
- ডকুমেন্টেশন
- দরজা
- ড্রাইভ
- সময়
- বাস্তু
- ইকোসিস্টেম
- প্রান্ত
- দক্ষতা
- জোর
- জোর দেয়
- কর্মচারী
- কর্মচারী
- নিয়োগ
- সক্রিয়
- উন্নত করা
- প্রবেশন
- সমানভাবে
- মূল্যায়ন
- প্রমান
- উদাহরণ
- এক্সিকিউট
- বিদ্যমান
- শোষিত
- পরশ্রমজীবী
- উদ্ভাসিত
- প্রসারিত করা
- প্রসার
- বহিরাগত
- সুবিধা
- আর্থিক
- অর্থনৈতিক উপাত্ত
- তথ্যও
- প্রথম
- স্থায়ী
- সংক্রান্ত ত্রুটিগুলি
- জন্য
- পাওয়া
- ফ্রেমওয়ার্ক
- বৈশিষ্ট্য
- ক্রিয়াকলাপ
- অধিকতর
- ভবিষ্যৎ
- লাভ করা
- জেনাই
- সৃজক
- জেনারেটিভ এআই
- GitHub
- প্রদত্ত
- গুগল
- শাসন
- মঞ্জুর হলেই
- হ্যাকার
- ছিল
- আছে
- he
- সাহায্য
- কিভাবে
- কিভাবে
- HTTPS দ্বারা
- শত শত
- প্রভাব
- মূর্ত করা
- বাস্তবায়ন
- in
- অন্তর্ভুক্ত
- সুদ্ধ
- বৃদ্ধি
- ক্রমবর্ধমানভাবে
- ইঙ্গিত
- সহজাত
- স্থাপন
- সংহত
- বুদ্ধিজীবী
- বুদ্ধিজীবী সম্পত্তি
- বুদ্ধিমত্তা
- পারস্পরিক ক্রিয়ার
- মধ্যে
- উপস্থাপিত
- জড়িত
- সমস্যা
- জোনস
- JPG
- গবেষণাগার
- ল্যাবস
- নেতাদের
- নেতৃত্ব
- লেভারেজ
- মত
- সম্ভবত
- মেকিং
- বিদ্বেষপরায়ণ
- অনেক
- মে..
- পরিমাপ
- মডেল
- অধিক
- অবশ্যই
- প্রয়োজন
- নতুন
- না।
- সুপরিচিত
- of
- on
- কেবল
- খোলা
- OpenAI
- কর্মক্ষম
- or
- সংগঠন
- সংগঠন
- অন্যান্য
- বাইরে
- শেষ
- শতকরা হার
- অনুমতি
- অনুমতি
- মাচা
- প্ল্যাটফর্ম
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- বিন্দু
- পয়েন্ট
- নীতি
- জনপ্রিয়
- সম্ভব
- সম্ভাব্য
- সভাপতি
- চাপ
- সঠিক
- সম্পত্তি
- মালিকানা
- প্রদান
- প্রকাশিত
- করা
- দ্রুত
- বিশেষ পরামর্শ দেওয়া হচ্ছে
- হ্রাস করা
- নিয়মিত
- প্রাসঙ্গিক
- অনুস্মারক
- রিপোর্ট
- গবেষণা
- গবেষকরা
- এখানে ক্লিক করুন
- ঝুঁকি
- ঝুঁকি
- শক্তসমর্থ
- নলখাগড়া
- s
- লবণ
- বলেছেন
- নিরাপত্তা
- সুরক্ষা ব্যবস্থা
- নিরাপত্তা ঝুঁকি
- দেখা
- সংবেদনশীল
- প্রেরিত
- পরিবেশন করা
- সেবা
- সে
- উচিত
- থেকে
- ছোট
- So
- সলিউশন
- শীঘ্রই
- বিশেষভাবে
- মান
- সম্পূর্ণ
- শুরু
- শুরু হচ্ছে
- কৌশল
- সুপারিশ
- সরবরাহ
- সরবরাহ শৃঙ্খল
- কার্যক্ষম
- গ্রহণ করা
- টেকওভারের
- কাজ
- টীম
- যে
- সার্জারির
- তাদের
- তাহাদিগকে
- সেখানে।
- এইগুলো
- তারা
- তৃতীয় পক্ষের
- এই
- সেগুলো
- হাজার হাজার
- হুমকি
- দ্বারা
- থেকে
- সরঞ্জাম
- প্রশিক্ষণ
- কৌতুক
- অনধিকার
- উন্মোচিত
- বোঝা
- আপডেট
- ব্যবহার
- ব্যবহারকারী
- ব্যবহারকারী
- ব্যবহার
- বিভিন্ন
- সুবিশাল
- সংস্করণ
- ভাইস
- উপরাষ্ট্রপতি
- দুর্বলতা
- ছিল
- we
- ওয়েবসাইট
- ছিল
- কি
- কখন
- যে
- ইচ্ছা
- সঙ্গে
- মধ্যে
- কর্মপ্রবাহ
- would
- zephyrnet