Kolme ChatGPT:n laajennustoiminnoista löydettyä tietoturva-aukkoa avaavat oven luvattomalle, napsautusvapaalle pääsylle käyttäjien tileihin ja palveluihin, mukaan lukien GitHubin kaltaisten alustojen arkaluontoiset tietovarastot.
ChatGPT-laajennukset ja kehittäjien julkaisemat ChatGPT:n mukautetut versiot laajentavat tekoälymallin ominaisuuksia mahdollistaen vuorovaikutuksen ulkoisten palvelujen kanssa myöntämällä OpenAI:n suositulle generatiiviselle tekoäly-chatbotille pääsyn ja luvat suorittaa tehtäviä useilla kolmansien osapuolien verkkosivustoilla, mukaan lukien GitHub ja Google Drive. .
Salt Labsin tutkijat paljastivat kolme kriittistä haavoittuvuutta, jotka vaikuttavat ChatGPT:hen, joista ensimmäinen tapahtuu uusien laajennusten asennuksen aikana, kun ChatGPT uudelleenohjaa käyttäjät laajennussivustoille koodin hyväksymistä varten. Hyödyntämällä tätä hyökkääjät voivat huijata käyttäjiä hyväksymään haitallista koodia, mikä johtaa luvattomien laajennusten automaattiseen asennukseen ja mahdolliseen tilien vaarantumiseen.
Toiseksi, PluginLab, laajennuskehityskehys, puuttuu kunnollisesta käyttäjien todennusta, jonka avulla hyökkääjät voivat esiintyä käyttäjinä ja suorittaa tilien haltuunottoa, kuten AskTheCode-laajennuksesta, joka yhdistää ChatGPT:n GitHubiin.
Lopuksi Saltin tutkijat havaitsivat, että tietyt laajennukset olivat alttiita OAuth-uudelleenohjauksen käsittely, jonka avulla hyökkääjät voivat lisätä haitallisia URL-osoitteita ja varastaa käyttäjien tunnistetietoja, mikä helpottaa tilin haltuunottoa.
Raportissa todettiin, että ongelmat on sittemmin korjattu, eikä ollut näyttöä haavoittuvuuksien hyödyntämisestä, joten käyttäjien tulisi päivittää sovelluksensa mahdollisimman pian.
GenAI-tietoturvaongelmat vaarantavat laajan ekosysteemin
Yaniv Balmas, Salt Securityn tutkimusjohtaja, sanoo, että tutkimusryhmän löytämät ongelmat voivat vaarantaa satoja tuhansia käyttäjiä ja organisaatioita.
"Jokaisen organisaation tietoturvajohtajien on ymmärrettävä riski paremmin, joten heidän tulee tarkistaa, mitä laajennuksia ja GPT:itä heidän yrityksensä käyttää ja mitkä kolmannen osapuolen tilit paljastuvat näiden laajennusten ja GPT:iden kautta", hän sanoo. "Aluksi suosittelemme heidän koodinsa turvallisuustarkistuksen tekemistä."
Laajennusten ja GPT-kehittäjien osalta Balmas suosittelee kehittäjien olemaan paremmin tietoisia GenAI-ekosysteemin sisäisistä ominaisuuksista, siihen liittyvistä turvatoimista, niiden käytöstä ja väärinkäytöstä. Se sisältää erityisesti mitä dataa lähetetään GenAI:lle ja mitkä luvat annetaan GenAI-alustalle tai siihen liitetyille kolmannen osapuolen laajennuksille – esimerkiksi Google Driven tai GitHubin käyttöoikeudet.
Balmas huomauttaa, että Salt-tutkimustiimi tarkisti vain pienen osan tästä ekosysteemistä ja sanoo, että havainnot osoittavat, että muille GenAI-alustoille ja monille olemassa oleville ja tuleville GenAI-laajennuksille liittyy suurempi riski.
Balmas sanoo myös, että OpenAI:n tulisi painottaa enemmän turvallisuutta kehittäjille tarkoitetussa dokumentaatiossaan, mikä auttaa vähentämään riskejä.
GenAI-laajennuksen tietoturvariskit todennäköisesti lisääntyvät
Sarah Jones, Critical Startin kyberuhkien tiedustelututkimusanalyytikko, on samaa mieltä siitä, että Salt Labin havainnot viittaavat laajempi turvallisuusriski liittyvät GenAI-laajennuksiin.
"Kun GenAI integroituu entistä enemmän työnkulkuihin, laajennusten haavoittuvuudet voivat tarjota hyökkääjille pääsyn arkaluontoisiin tietoihin tai toimintoihin eri alustoilla", hän sanoo.
Tämä korostaa tiukkojen turvallisuusstandardien ja säännöllisten auditointien tarvetta sekä GenAI-alustoille että niiden plug-in-ekosysteemeille, kun hakkerit alkavat kohdistaa näiden alustojen puutteet.
Keeper Securityn toimitusjohtaja ja perustaja Darren Guccione sanoo, että nämä haavoittuvuudet toimivat "jyrkänä muistutuksena" kolmansien osapuolien sovelluksiin liittyvistä luontaisista turvallisuusriskeistä, ja niiden pitäisi saada organisaatiot vahvistamaan puolustustaan.
"Kun organisaatiot kiirehtivät hyödyntämään tekoälyä saavuttaakseen kilpailuetua ja parantaakseen toiminnan tehokkuutta, näiden ratkaisujen nopean käyttöönoton paine ei saisi mennä turvallisuusarviointien ja työntekijöiden koulutuksen edelle", hän sanoo.
Tekoälyä tukevien sovellusten yleistyminen on myös tuonut haasteita ohjelmistojen toimitusketjun turvallisuus, joka vaatii organisaatioita mukauttamaan suojausvalvontaansa ja tiedonhallintakäytäntöjään.
Hän huomauttaa, että työntekijät syöttävät yhä useammin omaa dataa tekoälytyökaluihin – mukaan lukien immateriaalioikeudet, taloudelliset tiedot, liiketoimintastrategiat ja paljon muuta – ja haitallisen toimijan luvaton käyttö saattaa lamauttaa organisaatiota.
"Tilin haltuunottohyökkäyksellä, joka vaarantaa työntekijän GitHub-tilin tai muut arkaluontoiset tilit, voi olla yhtä haitallisia vaikutuksia", hän varoittaa.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/vulnerabilities-threats/critical-chatgpt-plugin-vulnerabilities-expose-sensitive-data
- :on
- :On
- :ei
- $ YLÖS
- 7
- a
- Meistä
- hyväksikäyttö
- pääsy
- Tili
- Tilit
- sopeuttaa
- vaikuttavat
- suostuu
- AI
- AI chatbot
- Salliminen
- Myös
- an
- analyytikko
- ja
- Kaikki
- sovellukset
- hyväksyminen
- sovellukset
- OVAT
- AS
- liittyvä
- At
- hyökkäys
- tarkastukset
- Authentication
- automaattisesti
- tietoinen
- BE
- tulee
- ollut
- ovat
- Paremmin
- suurempi
- sekä
- liiketoiminta
- by
- kyvyt
- varoitukset
- toimitusjohtaja
- tietty
- ketju
- haasteet
- chatbot
- ChatGPT
- tarkistettu
- Perustaja
- koodi
- yritys
- kilpailukykyinen
- kompromissi
- kytketty
- Kytkeminen
- valvonta
- voisi
- Valtakirja
- lamaannuttavan
- kriittinen
- asiakassuhde
- cyber
- vahingollista
- tiedot
- puolustukset
- kehittäjille
- Kehitys
- dokumentointi
- Mukaan
- ajaa
- aikana
- ekosysteemi
- ekosysteemit
- reuna
- tehokkuus
- painotus
- painottaa
- Työntekijä
- työntekijää
- työllistää
- mahdollistaa
- parantaa
- kirjoittamalla
- yhtä
- arvioinnit
- näyttö
- esimerkki
- suorittaa
- olemassa
- hyödynnetään
- hyödyntäminen
- avoin
- laajentaa
- laajentaminen
- ulkoinen
- helpottaminen
- taloudellinen
- taloudelliset tiedot
- tulokset
- Etunimi
- kiinteä
- puutteita
- varten
- löytyi
- Puitteet
- toiminnallisuudet
- tehtävät
- edelleen
- tulevaisuutta
- Saada
- genai
- generatiivinen
- Generatiivinen AI
- GitHub
- tietty
- hallinto
- myöntäminen
- hakkerit
- HAD
- Olla
- he
- auttaa
- Miten
- Miten
- HTTPS
- Sadat
- Vaikutukset
- imitoida
- toteuttaa
- in
- sisältää
- Mukaan lukien
- Kasvaa
- yhä useammin
- osoittaa
- luontainen
- asennus
- integroitu
- henkinen
- tekijänoikeuksien
- Älykkyys
- vuorovaikutukset
- tulee
- käyttöön
- osallistuva
- kysymykset
- jones
- jpg
- laboratorio
- Labs
- johtajat
- johtava
- Vaikutusvalta
- pitää
- Todennäköisesti
- Tekeminen
- ilkeä
- monet
- Saattaa..
- toimenpiteet
- malli
- lisää
- täytyy
- Tarve
- Uusi
- Nro
- huomattava
- of
- on
- vain
- avata
- OpenAI
- toiminta-
- or
- organisaatio
- organisaatioiden
- Muut
- ulos
- yli
- osuus
- lupa
- Oikeudet
- foorumi
- Platforms
- Platon
- Platonin tietotieto
- PlatonData
- Kohta
- pistettä
- politiikkaa
- Suosittu
- mahdollinen
- mahdollinen
- puheenjohtaja
- paine
- asianmukainen
- omaisuus
- patentoitu
- toimittaa
- julkaistu
- laittaa
- nopeasti
- suosittelee
- vähentää
- säännöllinen
- merkityksellinen
- muistutus
- raportti
- tutkimus
- Tutkijat
- arviot
- Riski
- riskit
- luja
- kiirehtiä
- s
- suolaa
- sanoo
- turvallisuus
- Turvatoimet
- turvallisuusriskit
- nähneet
- sensible
- lähetetty
- palvella
- Palvelut
- hän
- shouldnt
- koska
- pieni
- So
- Ratkaisumme
- pian
- erityisesti
- standardit
- karu
- Alkaa
- Aloita
- strategiat
- ehdottaa
- toimittaa
- toimitusketju
- herkkä
- ottaa
- vallata
- tehtävät
- joukkue-
- että
- -
- heidän
- Niitä
- Siellä.
- Nämä
- ne
- kolmannen osapuolen
- tätä
- ne
- tuhansia
- uhkaus
- Kautta
- että
- työkalut
- koulutus
- temppu
- luvaton
- kattamaton
- ymmärtää
- Päivitykset
- käyttää
- käyttäjä
- Käyttäjät
- käyttämällä
- eri
- valtava
- versiot
- pahe
- Varapresidentti
- haavoittuvuuksia
- oli
- we
- sivustot
- olivat
- Mitä
- kun
- joka
- tulee
- with
- sisällä
- työnkulkuja
- olisi
- zephyrnet