Drei Sicherheitslücken, die in den von ChatGPT verwendeten Erweiterungsfunktionen entdeckt wurden, öffnen die Tür für unbefugten Zugriff ohne Klick auf Benutzerkonten und -dienste, einschließlich sensibler Repositories auf Plattformen wie GitHub.
Von Entwicklern veröffentlichte ChatGPT-Plug-ins und benutzerdefinierte Versionen von ChatGPT erweitern die Fähigkeiten des KI-Modells und ermöglichen Interaktionen mit externen Diensten, indem sie dem beliebten generativen KI-Chatbot von OpenAI Zugriff und Berechtigungen zum Ausführen von Aufgaben auf verschiedenen Websites von Drittanbietern, einschließlich GitHub und Google Drive, gewähren .
Forscher von Salt Labs haben das entdeckt drei kritische Schwachstellen, die ChatGPT betreffen, der erste davon tritt während der Installation neuer Plug-Ins auf, wenn ChatGPT Benutzer zur Code-Genehmigung auf Plug-In-Websites umleitet. Indem Angreifer dies ausnutzen, können sie Benutzer dazu verleiten, bösartigen Code zu genehmigen, was zur automatischen Installation nicht autorisierter Plug-ins und einer möglichen Folgekompromittierung des Kontos führt.
Zweitens fehlt PluginLab, einem Framework für die Plug-in-Entwicklung, eine ordnungsgemäße Benutzerauthentifizierung, sodass Angreifer sich als Benutzer ausgeben und Kontoübernahmen durchführen können, wie am Plug-in „AskTheCode“ zu sehen ist, das ChatGPT mit GitHub verbindet.
Schließlich fanden Salt-Forscher heraus, dass bestimmte Plug-ins anfällig dafür waren Manipulation der OAuth-UmleitungDadurch können Angreifer bösartige URLs einfügen und Benutzeranmeldeinformationen stehlen, was weitere Kontoübernahmen erleichtert.
In dem Bericht wurde festgestellt, dass die Probleme inzwischen behoben wurden und es keine Hinweise darauf gab, dass die Schwachstellen ausgenutzt wurden. Benutzer sollten ihre Apps daher so schnell wie möglich aktualisieren.
GenAI-Sicherheitsprobleme gefährden ein riesiges Ökosystem
Yaniv Balmas, Vizepräsident für Forschung bei Salt Security, sagt, dass die vom Forschungsteam gefundenen Probleme Hunderttausende Benutzer und Organisationen gefährden könnten.
„Sicherheitsverantwortliche in jeder Organisation müssen das Risiko besser verstehen. Daher sollten sie überprüfen, welche Plug-ins und GPTs ihr Unternehmen verwendet und welche Konten von Drittanbietern durch diese Plug-ins und GPTs offengelegt werden“, sagt er. „Als Ausgangspunkt würden wir vorschlagen, eine Sicherheitsüberprüfung ihres Codes durchzuführen.“
Für Plug-Ins und GPT-Entwickler empfiehlt Balmas, sich besser mit den Interna des GenAI-Ökosystems, den damit verbundenen Sicherheitsmaßnahmen und deren Verwendung und Missbrauch vertraut zu machen. Dazu gehört insbesondere, welche Daten an GenAI gesendet werden und welche Berechtigungen der GenAI-Plattform oder den angeschlossenen Drittanbieter-Plug-ins erteilt werden – beispielsweise Berechtigungen für Google Drive oder GitHub.
Balmas weist darauf hin, dass das Salt-Forschungsteam nur einen kleinen Prozentsatz dieses Ökosystems überprüft hat, und sagt, dass die Ergebnisse darauf hindeuten, dass ein größeres Risiko für andere GenAI-Plattformen und viele bestehende und zukünftige GenAI-Plug-ins besteht.
Balmas sagt außerdem, dass OpenAI in seiner Dokumentation für Entwickler mehr Wert auf Sicherheit legen sollte, um die Risiken zu verringern.
Die Sicherheitsrisiken des GenAI-Plug-ins nehmen wahrscheinlich zu
Sarah Jones, Forschungsanalystin für Cyber-Bedrohungsinformationen bei Critical Start, stimmt zu, dass die Ergebnisse von Salt Lab darauf hindeuten, dass a größeres Sicherheitsrisiko im Zusammenhang mit GenAI-Plug-Ins.
„Da GenAI immer stärker in Arbeitsabläufe integriert wird, könnten Schwachstellen in Plug-Ins Angreifern Zugriff auf sensible Daten oder Funktionen innerhalb verschiedener Plattformen ermöglichen“, sagt sie.
Dies unterstreicht die Notwendigkeit robuster Sicherheitsstandards und regelmäßiger Audits sowohl für GenAI-Plattformen als auch für ihre Plug-in-Ökosysteme, da Hacker damit beginnen Schwachstellen in diesen Plattformen gezielt angehen.
Darren Guccione, CEO und Mitbegründer von Keeper Security, sagt, diese Schwachstellen seien eine „deutliche Erinnerung“ an die inhärenten Sicherheitsrisiken, die mit Anwendungen von Drittanbietern einhergehen, und sollten Unternehmen dazu veranlassen, ihre Abwehrmaßnahmen zu verstärken.
„Da Unternehmen sich beeilen, KI zu nutzen, um sich einen Wettbewerbsvorteil zu verschaffen und die betriebliche Effizienz zu steigern, sollte der Druck, diese Lösungen schnell zu implementieren, nicht Vorrang vor Sicherheitsbewertungen und Mitarbeiterschulungen haben“, sagt er.
Die Verbreitung von KI-gestützten Anwendungen hat auch Herausforderungen mit sich gebracht Sicherheit der Software-Lieferkette, was von Organisationen verlangt, ihre Sicherheitskontrollen und Datenverwaltungsrichtlinien anzupassen.
Er weist darauf hin, dass Mitarbeiter zunehmend proprietäre Daten in KI-Tools eingeben – darunter geistiges Eigentum, Finanzdaten, Geschäftsstrategien und mehr – und dass der unbefugte Zugriff eines böswilligen Akteurs für ein Unternehmen lähmend sein könnte.
„Ein Kontoübernahmeangriff, der das GitHub-Konto eines Mitarbeiters oder andere sensible Konten gefährdet, könnte ebenso schädliche Auswirkungen haben“, warnt er.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/vulnerabilities-threats/critical-chatgpt-plugin-vulnerabilities-expose-sensitive-data
- :hast
- :Ist
- :nicht
- $UP
- 7
- a
- Über Uns
- Missbrauch
- Zugang
- Konto
- Trading Konten
- automatisch
- beeinflussen
- stimmt zu
- AI
- AI Chatbot
- Zulassen
- ebenfalls
- an
- Analytiker
- und
- jedem
- Anwendungen
- Genehmigung
- Apps
- SIND
- AS
- damit verbundenen
- At
- Attacke
- Audits
- Authentifizierung
- automatische
- bewusst
- BE
- wird
- war
- Sein
- Besser
- größer
- beide
- Geschäft
- by
- Fähigkeiten
- Vorsichtsmaßnahmen
- CEO
- sicher
- Kette
- Herausforderungen
- Chatbot
- ChatGPT
- geprüft
- Co-Gründer
- Code
- Unternehmen
- wettbewerbsfähig
- Kompromiss
- Sie
- Sich zusammenschliessen
- Steuerung
- könnte
- Referenzen
- lähmend
- kritischem
- Original
- Cyber-
- schädlich
- technische Daten
- Verteidigung
- Entwickler
- Entwicklung
- Dokumentation
- Von
- Antrieb
- im
- Ökosystem
- Ecosystems
- Edge
- Effizienz
- Betonung
- betont
- Mitarbeiter
- Mitarbeiter
- beschäftigt
- ermöglichen
- zu steigern,
- Eingabe
- gleichermaßen
- Auswertungen
- Beweis
- Beispiel
- ausführen
- vorhandenen
- Exploited
- Nutzung
- ausgesetzt
- erweitern
- Erweiterung
- extern
- erleichtern
- Revolution
- Finanzdaten
- Befund
- Vorname
- fixiert
- Mängel
- Aussichten für
- gefunden
- Unser Ansatz
- Funktionsumfang
- Funktionen
- weiter
- Zukunft
- Gewinnen
- Genai
- generativ
- Generative KI
- GitHub
- gegeben
- Governance
- Gewährung
- Hacker
- hätten
- Haben
- he
- Hilfe
- Ultraschall
- Hilfe
- HTTPS
- hunderte
- Einfluss hat
- imitieren
- implementieren
- in
- Dazu gehören
- Einschließlich
- Erhöhung
- zunehmend
- zeigen
- inhärent
- Installation
- integriert
- geistigen
- geistiges Eigentum
- Intelligenz
- Interaktionen
- in
- eingeführt
- beteiligt
- Probleme
- Jones
- jpg
- Labor
- Labs
- Führung
- führenden
- Hebelwirkung
- Gefällt mir
- wahrscheinlich
- Making
- böswilligen
- viele
- Kann..
- Maßnahmen
- Modell
- mehr
- sollen
- Need
- Neu
- nicht
- bekannt
- of
- on
- einzige
- XNUMXh geöffnet
- OpenAI
- Betriebs-
- or
- Organisation
- Organisationen
- Andere
- übrig
- Prozentsatz
- Erlaubnis
- Berechtigungen
- Plattform
- Plattformen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Points
- Punkte
- Politik durchzulesen
- Beliebt
- möglich
- Potenzial
- Präsident
- Druck
- ordnungsgemäße
- Resorts
- Eigentums-
- die
- veröffentlicht
- setzen
- schnell
- empfiehlt
- Veteran
- regulär
- relevant
- Erinnerung
- berichten
- Forschungsprojekte
- Forscher
- Überprüfen
- Risiko
- Risiken
- robust
- überstürzen
- s
- Salz
- sagt
- Sicherheitdienst
- Sicherheitsmaßnahmen
- Sicherheitsrisiken
- gesehen
- empfindlich
- geschickt
- brauchen
- Lösungen
- sie
- sollte
- da
- klein
- So
- Lösungen
- bald
- speziell
- Normen
- stark
- Anfang
- Beginnen Sie
- Strategien
- vorschlagen
- liefern
- Supply Chain
- empfänglich
- Nehmen
- Übernahme
- und Aufgaben
- Team
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- Dort.
- Diese
- vom Nutzer definierten
- basierte Online-to-Offline-Werbezuordnungen von anderen gab.
- fehlen uns die Worte.
- diejenigen
- Tausende
- Bedrohung
- Durch
- zu
- Werkzeuge
- Ausbildung
- Trick
- unbefugt
- unbedeckt
- verstehen
- Aktualisierung
- -
- Mitglied
- Nutzer
- Verwendung von
- verschiedene
- riesig
- Versionen
- Schraubstock
- Vizepräsident:in
- Sicherheitslücken
- wurde
- we
- Webseiten
- waren
- Was
- wann
- welche
- werden wir
- mit
- .
- Workflows
- würde
- Zephyrnet