Τρεις ευπάθειες ασφαλείας που ανακαλύφθηκαν στις λειτουργίες επέκτασης που χρησιμοποιεί το ChatGPT ανοίγουν την πόρτα σε μη εξουσιοδοτημένη πρόσβαση με μηδενικό κλικ στους λογαριασμούς και τις υπηρεσίες των χρηστών, συμπεριλαμβανομένων των ευαίσθητων αποθετηρίων σε πλατφόρμες όπως το GitHub.
Τα πρόσθετα ChatGPT και οι προσαρμοσμένες εκδόσεις του ChatGPT που δημοσιεύονται από προγραμματιστές επεκτείνουν τις δυνατότητες του μοντέλου AI, επιτρέποντας αλληλεπιδράσεις με εξωτερικές υπηρεσίες παρέχοντας στο δημοφιλές chatbot τεχνητής νοημοσύνης του OpenAI πρόσβαση και άδειες για την εκτέλεση εργασιών σε διάφορους ιστότοπους τρίτων, συμπεριλαμβανομένων των GitHub και Google Drive .
Οι ερευνητές της Salt Labs αποκάλυψαν το τρία κρίσιμα τρωτά σημεία που επηρεάζουν το ChatGPT, το πρώτο εκ των οποίων συμβαίνει κατά την εγκατάσταση νέων προσθηκών, όταν το ChatGPT ανακατευθύνει τους χρήστες σε ιστότοπους με προσθήκη για έγκριση κώδικα. Εκμεταλλευόμενοι αυτό, οι εισβολείς θα μπορούσαν να εξαπατήσουν τους χρήστες για να εγκρίνουν κακόβουλο κώδικα, οδηγώντας σε αυτόματη εγκατάσταση μη εξουσιοδοτημένων προσθηκών και σε ενδεχόμενο παραβιασμό του λογαριασμού.
Δεύτερον, το PluginLab, ένα πλαίσιο για την ανάπτυξη προσθηκών, στερείται κατάλληλου ελέγχου ταυτότητας χρήστη, επιτρέποντας στους εισβολείς να μιμούνται τους χρήστες και να εκτελούν εξαγορές λογαριασμού, όπως φαίνεται στην προσθήκη "AskTheCode" που συνδέει το ChatGPT με το GitHub.
Τέλος, οι ερευνητές του Salt διαπίστωσαν ότι ορισμένα πρόσθετα ήταν επιρρεπή Χειρισμός ανακατεύθυνσης OAuth, επιτρέποντας στους εισβολείς να εισαγάγουν κακόβουλες διευθύνσεις URL και να κλέψουν διαπιστευτήρια χρήστη, διευκολύνοντας περαιτέρω εξαγορές λογαριασμών.
Η αναφορά σημείωσε ότι τα ζητήματα έχουν επιδιορθωθεί έκτοτε και δεν υπήρχαν στοιχεία ότι τα τρωτά σημεία είχαν γίνει αντικείμενο εκμετάλλευσης, επομένως οι χρήστες θα πρέπει να ενημερώσουν τις εφαρμογές τους το συντομότερο δυνατό.
Ζητήματα ασφάλειας GenAI θέτουν σε κίνδυνο το τεράστιο οικοσύστημα
Ο Yaniv Balmas, αντιπρόεδρος έρευνας στην Salt Security, λέει ότι τα ζητήματα που ανακάλυψε η ερευνητική ομάδα μπορεί να θέσουν σε κίνδυνο εκατοντάδες χιλιάδες χρήστες και οργανισμούς.
«Οι ηγέτες ασφαλείας σε οποιονδήποτε οργανισμό πρέπει να κατανοήσουν καλύτερα τον κίνδυνο, επομένως θα πρέπει να ελέγξουν ποια πρόσθετα και GPT χρησιμοποιεί η εταιρεία τους και ποιοι λογαριασμοί τρίτων εκτίθενται μέσω αυτών των προσθηκών και GPT», λέει. "Ως σημείο εκκίνησης, θα προτείναμε να κάνετε έναν έλεγχο ασφαλείας του κώδικά τους."
Για προγραμματιστές προσθηκών και GPT, η Balmas συνιστά στους προγραμματιστές να γνωρίζουν καλύτερα τα εσωτερικά του οικοσυστήματος GenAI, τα μέτρα ασφαλείας που εμπλέκονται, τον τρόπο χρήσης τους και την κατάχρησή τους. Αυτό περιλαμβάνει συγκεκριμένα ποια δεδομένα αποστέλλονται στο GenAI και ποιες άδειες δίνονται στην πλατφόρμα GenAI ή στις συνδεδεμένες προσθήκες τρίτων — για παράδειγμα, άδεια για το Google Drive ή το GitHub.
Ο Balmas επισημαίνει ότι η ερευνητική ομάδα του Salt έλεγξε μόνο ένα μικρό ποσοστό αυτού του οικοσυστήματος και λέει ότι τα ευρήματα δείχνουν ότι υπάρχει μεγαλύτερος κίνδυνος που σχετίζεται με άλλες πλατφόρμες GenAI και πολλά υπάρχοντα και μελλοντικά πρόσθετα GenAI.
Ο Balmas λέει επίσης ότι το OpenAI θα πρέπει να δώσει μεγαλύτερη έμφαση στην ασφάλεια στην τεκμηρίωσή του για προγραμματιστές, κάτι που θα συμβάλει στη μείωση των κινδύνων.
Οι κίνδυνοι ασφάλειας του πρόσθετου GenAI είναι πιθανό να αυξηθούν
Η Sarah Jones, αναλύτρια έρευνας πληροφοριών για απειλές στον κυβερνοχώρο στο Critical Start, συμφωνεί ότι τα ευρήματα του Salt Lab υποδηλώνουν ευρύτερο κίνδυνο ασφάλειας που σχετίζονται με τα πρόσθετα GenAI.
«Καθώς το GenAI ενσωματώνεται περισσότερο με τις ροές εργασίας, τα τρωτά σημεία στα plug-ins θα μπορούσαν να παρέχουν στους εισβολείς πρόσβαση σε ευαίσθητα δεδομένα ή λειτουργίες σε διάφορες πλατφόρμες», λέει.
Αυτό τονίζει την ανάγκη για ισχυρά πρότυπα ασφαλείας και τακτικούς ελέγχους τόσο για τις πλατφόρμες GenAI όσο και για τα οικοσυστήματα plug-in τους, καθώς οι χάκερ αρχίζουν να στοχεύστε ελαττώματα σε αυτές τις πλατφόρμες.
Ο Darren Guccione, Διευθύνων Σύμβουλος και συνιδρυτής της Keeper Security, λέει ότι αυτά τα τρωτά σημεία χρησιμεύουν ως μια «ζωηρή υπενθύμιση» σχετικά με τους εγγενείς κινδύνους ασφαλείας που ενέχονται στις εφαρμογές τρίτων και θα πρέπει να ωθήσουν τους οργανισμούς να ενισχύσουν την άμυνά τους.
«Καθώς οι οργανισμοί σπεύδουν να αξιοποιήσουν την τεχνητή νοημοσύνη για να αποκτήσουν ανταγωνιστικό πλεονέκτημα και να ενισχύσουν τη λειτουργική αποτελεσματικότητα, η πίεση για γρήγορη εφαρμογή αυτών των λύσεων δεν θα πρέπει να υπερισχύει των αξιολογήσεων ασφάλειας και της εκπαίδευσης των εργαζομένων», λέει.
Ο πολλαπλασιασμός των εφαρμογών με δυνατότητα AI έχει επίσης εισαγάγει προκλήσεις ασφάλεια αλυσίδας εφοδιασμού λογισμικού, απαιτώντας από τους οργανισμούς να προσαρμόσουν τους ελέγχους ασφαλείας και τις πολιτικές διακυβέρνησης δεδομένων.
Επισημαίνει ότι οι εργαζόμενοι εισάγουν ολοένα και περισσότερο ιδιόκτητα δεδομένα σε εργαλεία τεχνητής νοημοσύνης - συμπεριλαμβανομένης της πνευματικής ιδιοκτησίας, των οικονομικών δεδομένων, των επιχειρηματικών στρατηγικών και άλλων - και η μη εξουσιοδοτημένη πρόσβαση από έναν κακόβουλο παράγοντα θα μπορούσε να ακρωτηριάσει έναν οργανισμό.
«Μια επίθεση κατάληψης λογαριασμού που θέτει σε κίνδυνο τον λογαριασμό GitHub ενός υπαλλήλου ή άλλους ευαίσθητους λογαριασμούς, θα μπορούσε να έχει εξίσου επιζήμιες επιπτώσεις», προειδοποιεί.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/vulnerabilities-threats/critical-chatgpt-plugin-vulnerabilities-expose-sensitive-data
- :έχει
- :είναι
- :δεν
- $UP
- 7
- a
- Σχετικα
- κατάχρηση
- πρόσβαση
- Λογαριασμός
- Λογαριασμοί
- προσαρμόσει
- συγκινητικός
- συμφωνεί
- AI
- AI chatbot
- Επιτρέποντας
- Επίσης
- an
- αναλυτής
- και
- κάθε
- εφαρμογές
- έγκριση
- εφαρμογές
- ΕΙΝΑΙ
- AS
- συσχετισμένη
- At
- επίθεση
- έλεγχοι
- Πιστοποίηση
- Αυτόματο
- επίγνωση
- BE
- γίνεται
- ήταν
- είναι
- Καλύτερα
- μεγαλύτερος
- και οι δύο
- επιχείρηση
- by
- δυνατότητες
- προειδοποιήσεις
- Διευθύνων Σύμβουλος
- ορισμένες
- αλυσίδα
- προκλήσεις
- chatbot
- ChatGPT
- τετραγωνισμένος
- Συνιδρυτής
- κωδικός
- εταίρα
- ανταγωνιστική
- συμβιβασμός
- συνδεδεμένος
- Συνδετικός
- ελέγχους
- θα μπορούσε να
- Διαπιστεύσεις
- ανάπηρος
- κρίσιμης
- έθιμο
- στον κυβερνοχώρο
- επιβλαβής
- ημερομηνία
- Άμυνες
- προγραμματιστές
- Ανάπτυξη
- τεκμηρίωση
- Θύρα
- αυτοκίνητο
- κατά την διάρκεια
- οικοσύστημα
- οικοσυστήματα
- άκρη
- αποδοτικότητα
- έμφαση
- τονίζει
- Υπάλληλος
- υπαλλήλους
- απασχολεί
- ενεργοποίηση
- ενίσχυση
- εισερχόμενοι
- εξίσου
- αξιολογήσεις
- απόδειξη
- παράδειγμα
- εκτελέσει
- υφιστάμενα
- Κακοποιημένα
- εκμετάλλευση
- εκτεθειμένος
- επεκτείνουν
- επέκταση
- εξωτερικός
- διευκολύνοντας
- οικονομικός
- ΟΙΚΟΝΟΜΙΚΑ ΣΤΟΙΧΕΙΑ
- ευρήματα
- Όνομα
- καθορίζεται
- ελαττώματα
- Για
- Βρέθηκαν
- Πλαίσιο
- λειτουργίες
- λειτουργίες
- περαιτέρω
- μελλοντικός
- Κέρδος
- γεναί
- γενετική
- Παραγωγική τεχνητή νοημοσύνη
- GitHub
- δεδομένου
- διακυβέρνησης
- χορήγηση
- χάκερ
- είχε
- Έχω
- he
- βοήθεια
- Πως
- Πώς να
- HTTPS
- Εκατοντάδες
- Επιπτώσεις
- υποδύομαι
- εφαρμογή
- in
- περιλαμβάνει
- Συμπεριλαμβανομένου
- Αυξάνουν
- όλο και περισσότερο
- υποδεικνύω
- συμφυής
- εγκατάσταση
- ενσωματωθεί
- διανοούμενος
- πνευματικής ιδιοκτησίας
- Νοημοσύνη
- αλληλεπιδράσεις
- σε
- εισήγαγε
- συμμετέχουν
- θέματα
- jones
- jpg
- εργαστήριο
- Labs
- ηγέτες
- που οδηγεί
- Μόχλευση
- Μου αρέσει
- Πιθανός
- Κατασκευή
- κακόβουλο
- πολοί
- Ενδέχεται..
- μέτρα
- μοντέλο
- περισσότερο
- πρέπει
- Ανάγκη
- Νέα
- Όχι.
- Σημειώνεται
- of
- on
- αποκλειστικά
- ανοίξτε
- OpenAI
- επιχειρήσεων
- or
- επιχειρήσεις
- οργανώσεις
- ΑΛΛΑ
- έξω
- επί
- ποσοστό
- άδεια
- δικαιώματα
- πλατφόρμες
- Πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Σημείο
- σημεία
- Πολιτικές
- Δημοφιλής
- δυνατός
- δυναμικού
- πρόεδρος
- χυτρα
- κατάλληλος
- περιουσία
- ιδιόκτητο
- παρέχουν
- δημοσιεύθηκε
- βάζω
- γρήγορα
- συνιστά
- μείωση
- τακτικός
- υπενθύμιση
- αναφέρουν
- έρευνα
- ερευνητές
- ανασκόπηση
- Κίνδυνος
- κινδύνους
- εύρωστος
- βιασύνη
- s
- αλάτι
- λέει
- ασφάλεια
- Μέτρα ασφαλείας
- κινδύνους ασφάλειας
- δει
- ευαίσθητος
- αποστέλλονται
- εξυπηρετούν
- Υπηρεσίες
- αυτή
- θα πρέπει να
- αφού
- small
- So
- Λύσεις
- σύντομα
- ειδικά
- πρότυπα
- έντονα
- Εκκίνηση
- Ξεκινήστε
- στρατηγικές
- προτείνω
- προμήθεια
- αλυσίδας εφοδιασμού
- ευαίσθητος
- Πάρτε
- εξαγοράς
- εργασίες
- ότι
- Η
- τους
- Τους
- Εκεί.
- Αυτοί
- αυτοί
- τρίτους
- αυτό
- εκείνοι
- χιλιάδες
- απειλή
- Μέσω
- προς την
- εργαλεία
- Εκπαίδευση
- τέχνασμα
- ανεξουσιοδότητος
- ακάλυπτος
- καταλαβαίνω
- Ενημέρωση
- χρήση
- Χρήστες
- Χρήστες
- χρησιμοποιώντας
- διάφορα
- Σταθερή
- εκδόσεις
- μέγγενη
- Vice President
- Θέματα ευπάθειας
- ήταν
- we
- ιστοσελίδες
- ήταν
- Τι
- πότε
- Ποιό
- θα
- με
- εντός
- ροές εργασίας
- θα
- zephyrnet