Tres vulnerabilidades de seguridad descubiertas en las funciones de extensión que emplea ChatGPT abren la puerta al acceso no autorizado y sin hacer clic a las cuentas y servicios de los usuarios, incluidos repositorios confidenciales en plataformas como GitHub.
Los complementos de ChatGPT y las versiones personalizadas de ChatGPT publicadas por los desarrolladores amplían las capacidades del modelo de IA, permitiendo interacciones con servicios externos al otorgar acceso y permisos al popular chatbot de IA generativa de OpenAI para ejecutar tareas en varios sitios web de terceros, incluidos GitHub y Google Drive. .
Los investigadores de Salt Labs descubrieron el Tres vulnerabilidades críticas que afectan a ChatGPT, el primero de los cuales ocurre durante la instalación de nuevos complementos, cuando ChatGPT redirige a los usuarios a sitios web de complementos para la aprobación del código. Al explotar esto, los atacantes podrían engañar a los usuarios para que aprueben código malicioso, lo que llevaría a la instalación automática de complementos no autorizados y a un posible compromiso de la cuenta de seguimiento.
En segundo lugar, PluginLab, un marco para el desarrollo de complementos, carece de una autenticación de usuario adecuada, lo que permite a los atacantes hacerse pasar por usuarios y ejecutar apropiaciones de cuentas, como se ve con el complemento "AskTheCode" que conecta ChatGPT con GitHub.
Finalmente, los investigadores de Salt descubrieron que ciertos complementos eran susceptibles a Manipulación de redireccionamiento de OAuth, lo que permite a los atacantes insertar URL maliciosas y robar credenciales de usuario, lo que facilita más apropiaciones de cuentas.
El informe señaló que desde entonces los problemas se solucionaron y no había evidencia de que las vulnerabilidades hubieran sido explotadas, por lo que los usuarios deben actualizar sus aplicaciones lo antes posible.
Los problemas de seguridad de GenAI ponen en riesgo un vasto ecosistema
Yaniv Balmas, vicepresidente de investigación de Salt Security, dice que los problemas que encontró el equipo de investigación pueden poner en riesgo a cientos de miles de usuarios y organizaciones.
"Los líderes de seguridad de cualquier organización deben comprender mejor el riesgo, por lo que deben revisar qué complementos y GPT utiliza su empresa y qué cuentas de terceros están expuestas a través de esos complementos y GPT", afirma. "Como punto de partida, sugerimos realizar una revisión de seguridad de su código".
Para los desarrolladores de complementos y GPT, Balmas recomienda que los desarrolladores conozcan mejor los aspectos internos del ecosistema GenAI, las medidas de seguridad involucradas, cómo usarlas y cómo abusar de ellas. Esto incluye específicamente qué datos se envían a GenAI y qué permisos se otorgan a la plataforma GenAI o a los complementos de terceros conectados (por ejemplo, permiso para Google Drive o GitHub).
Balmas señala que el equipo de investigación de Salt solo verificó un pequeño porcentaje de este ecosistema y dice que los hallazgos indican que existe un riesgo mayor relevante para otras plataformas GenAI y muchos complementos GenAI existentes y futuros.
Balmas también dice que OpenAI debería poner más énfasis en la seguridad en su documentación para desarrolladores, lo que ayudará a reducir los riesgos.
Es probable que aumenten los riesgos de seguridad del complemento GenAI
Sarah Jones, analista de investigación de inteligencia sobre amenazas cibernéticas de Critical Start, está de acuerdo en que los hallazgos del Salt Lab sugieren una riesgo de seguridad más amplio asociado con complementos GenAI.
"A medida que GenAI se integra más con los flujos de trabajo, las vulnerabilidades en los complementos podrían proporcionar a los atacantes acceso a datos confidenciales o funcionalidades dentro de varias plataformas", afirma.
Esto enfatiza la necesidad de estándares de seguridad sólidos y auditorías periódicas tanto para las plataformas GenAI como para sus ecosistemas de complementos, a medida que los piratas informáticos comienzan a detectar fallas en estas plataformas.
Darren Guccione, director ejecutivo y cofundador de Keeper Security, dice que estas vulnerabilidades sirven como un "claro recordatorio" sobre los riesgos de seguridad inherentes a las aplicaciones de terceros y deberían impulsar a las organizaciones a reforzar sus defensas.
"A medida que las organizaciones se apresuran a aprovechar la IA para obtener una ventaja competitiva y mejorar la eficiencia operativa, la presión para implementar rápidamente estas soluciones no debería tener prioridad sobre las evaluaciones de seguridad y la capacitación de los empleados", afirma.
La proliferación de aplicaciones basadas en IA también ha introducido desafíos en seguridad de la cadena de suministro de software, lo que requiere que las organizaciones adapten sus controles de seguridad y políticas de gobierno de datos.
Señala que los empleados introducen cada vez más datos propietarios en herramientas de inteligencia artificial (incluida propiedad intelectual, datos financieros, estrategias comerciales y más) y el acceso no autorizado por parte de un actor malicioso podría ser perjudicial para una organización.
"Un ataque de apropiación de cuenta que ponga en peligro la cuenta de GitHub de un empleado, u otras cuentas sensibles, podría tener impactos igualmente dañinos", advierte.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/vulnerabilities-threats/critical-chatgpt-plugin-vulnerabilities-expose-sensitive-data
- :posee
- :es
- :no
- $ UP
- 7
- a
- Nuestra Empresa
- abuso
- de la máquina
- Mi Cuenta
- Cuentas
- adaptar
- afectando
- Está de acuerdo
- AI
- Chat de AI
- Permitir
- también
- an
- analista
- y
- cualquier
- aplicaciones
- aprobación
- aplicaciones
- somos
- AS
- asociado
- At
- atacar
- auditorías
- Autenticación
- Automático
- conscientes
- BE
- se convierte en
- esto
- "Ser"
- mejores
- más grande
- ambas
- by
- capacidades
- precauciones
- ceo
- a ciertos
- cadena
- retos
- chatterbot
- ChatGPT
- comprobado
- Co-founder
- código
- compañía
- competitivos
- compromiso
- conectado
- Conectándote
- controles
- podría
- Referencias
- herida
- crítico
- personalizado
- ciber
- perjudicial
- datos
- defensas
- desarrolladores
- Desarrollo
- documentación
- Puerta
- el lado de la transmisión
- durante
- ecosistema
- ecosistemas
- Southern Implants
- eficiencia
- énfasis
- enfatiza
- Nuestros
- personas
- emplea
- permitiendo
- mejorar
- que entran a los
- igualmente
- evaluaciones
- evidencia sólida
- ejemplo
- ejecutar
- existente
- Explotado
- explotando
- expuesto
- ampliar
- extensión
- externo
- facilitando
- financiero
- Datos financieros
- Los resultados
- Nombre
- fijas
- defectos
- encontrado
- Marco conceptual
- funcionalidades
- funciones
- promover
- futuras
- Obtén
- Génai
- generativo
- IA generativa
- GitHub
- dado
- gobierno
- concesión
- los piratas informáticos
- tenido
- Tienen
- he
- ayuda
- Cómo
- Como Hacer
- HTTPS
- Cientos
- Impactos
- personificar
- implementar
- in
- incluye
- Incluye
- aumente
- cada vez más
- indicar
- inherente
- instalación
- COMPLETAMENTE
- propiedad
- la propiedad intelectual
- Intelligence
- interacciones
- dentro
- Introducido
- involucra
- cuestiones
- Jones
- jpg
- el lab
- labs
- los líderes
- líder
- Apalancamiento
- como
- que otros
- Realizar
- malicioso
- muchos
- Puede..
- medidas
- modelo
- más,
- debe
- ¿ Necesita ayuda
- Nuevo
- no
- señaló
- of
- on
- , solamente
- habiertos
- OpenAI
- operativos.
- or
- organización
- para las fiestas.
- Otro
- salir
- Más de
- porcentaje
- permiso
- permisos
- plataforma
- Plataformas
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- punto
- puntos
- políticas
- Popular
- posible
- posible
- presidente
- presión
- apropiado
- perfecta
- propietario
- proporcionar
- publicado
- poner
- con rapidez
- de CFP.
- reducir
- regular
- recordatorio
- reporte
- la investigación
- investigadores
- una estrategia SEO para aparecer en las búsquedas de Google.
- Riesgo
- riesgos
- robusto
- prisa
- s
- sal
- dice
- EN LINEA
- Medidas de Seguridad
- los riesgos de seguridad
- visto
- sensible
- expedido
- ayudar
- Servicios
- ella
- tienes
- desde
- chica
- So
- Soluciones
- pronto
- específicamente
- estándares de salud
- fuertemente
- comienzo
- Comience a
- estrategias
- sugieren
- suministro
- cadena de suministro
- susceptible
- ¡Prepárate!
- toma de posesión
- tareas
- equipo
- esa
- La
- su
- Les
- Ahí.
- Estas
- ellos
- terceros.
- así
- aquellos
- miles
- amenaza
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- a
- Formación
- truco
- no autorizado
- descubierto
- entender
- Actualizar
- utilizan el
- Usuario
- usuarios
- usando
- diversos
- Vasto
- versiones
- vicio
- Vice Presidenta
- Vulnerabilidades
- fue
- we
- sitios web
- tuvieron
- ¿
- cuando
- que
- seguirá
- dentro de
- flujos de trabajo
- se
- zephyrnet