एक्सटेंशन फ़ंक्शंस में सामने आई तीन सुरक्षा कमजोरियाँ ChatGPT उपयोगकर्ताओं के खातों और सेवाओं तक अनधिकृत, शून्य-क्लिक पहुंच का द्वार खोलती है, जिसमें GitHub जैसे प्लेटफ़ॉर्म पर संवेदनशील रिपॉजिटरी भी शामिल हैं।
डेवलपर्स द्वारा प्रकाशित चैटजीपीटी प्लग-इन और चैटजीपीटी के कस्टम संस्करण एआई मॉडल की क्षमताओं का विस्तार करते हैं, ओपनएआई के लोकप्रिय जेनरेटर एआई चैटबॉट एक्सेस और गिटहब और Google ड्राइव सहित विभिन्न तृतीय-पक्ष वेबसाइटों पर कार्यों को निष्पादित करने की अनुमति देकर बाहरी सेवाओं के साथ बातचीत को सक्षम करते हैं। .
साल्ट लैब्स के शोधकर्ताओं ने इसका खुलासा किया चैटजीपीटी को प्रभावित करने वाली तीन महत्वपूर्ण कमजोरियाँ, जिनमें से पहला नए प्लग-इन की स्थापना के दौरान होता है, जब ChatGPT उपयोगकर्ताओं को कोड अनुमोदन के लिए प्लग-इन वेबसाइटों पर पुनर्निर्देशित करता है। इसका फायदा उठाकर, हमलावर उपयोगकर्ताओं को दुर्भावनापूर्ण कोड को मंजूरी देने के लिए बरगला सकते हैं, जिससे अनधिकृत प्लग-इन की स्वचालित स्थापना हो सकती है और संभावित फॉलो-ऑन खाता समझौता हो सकता है।
दूसरा, प्लगइनलैब, प्लग-इन विकास के लिए एक रूपरेखा, में उचित उपयोगकर्ता प्रमाणीकरण का अभाव है, जो हमलावरों को उपयोगकर्ताओं का प्रतिरूपण करने और खाता अधिग्रहण को अंजाम देने में सक्षम बनाता है, जैसा कि चैटजीपीटी को गिटहब से जोड़ने वाले "आस्कदकोड" प्लग-इन के साथ देखा गया है।
अंत में, नमक शोधकर्ताओं ने पाया कि कुछ प्लग-इन अतिसंवेदनशील थे OAuth पुनर्निर्देशन हेरफेर, हमलावरों को दुर्भावनापूर्ण यूआरएल डालने और उपयोगकर्ता क्रेडेंशियल्स चुराने की इजाजत देता है, जिससे आगे खाता अधिग्रहण की सुविधा मिलती है।
रिपोर्ट में कहा गया है कि समस्याओं को ठीक कर लिया गया है और इस बात का कोई सबूत नहीं है कि कमजोरियों का फायदा उठाया गया था, इसलिए उपयोगकर्ताओं को जल्द से जल्द अपने ऐप को अपडेट करना चाहिए।
GenAI सुरक्षा मुद्दे विशाल पारिस्थितिकी तंत्र को खतरे में डालते हैं
साल्ट सिक्योरिटी में शोध के उपाध्यक्ष यानिव बलमास का कहना है कि शोध टीम को जो समस्याएं मिलीं, वे सैकड़ों हजारों उपयोगकर्ताओं और संगठनों को खतरे में डाल सकती हैं।
"किसी भी संगठन के सुरक्षा नेताओं को जोखिम को बेहतर ढंग से समझना चाहिए, इसलिए उन्हें समीक्षा करनी चाहिए कि उनकी कंपनी कौन से प्लग-इन और जीपीटी का उपयोग कर रही है और उन प्लग-इन और जीपीटी के माध्यम से कौन से तीसरे पक्ष के खाते उजागर हो रहे हैं," वे कहते हैं। "शुरुआती बिंदु के रूप में, हम उनके कोड की सुरक्षा समीक्षा करने का सुझाव देंगे।"
प्लग-इन और जीपीटी डेवलपर्स के लिए, बाल्मास अनुशंसा करता है कि डेवलपर्स को जेनएआई पारिस्थितिकी तंत्र के आंतरिक पहलुओं, इसमें शामिल सुरक्षा उपायों, उनका उपयोग कैसे करें और उनका दुरुपयोग कैसे करें के बारे में बेहतर जानकारी होनी चाहिए। इसमें विशेष रूप से शामिल है कि GenAI को कौन सा डेटा भेजा जा रहा है, और GenAI प्लेटफ़ॉर्म या कनेक्टेड थर्ड-पार्टी प्लग-इन को क्या अनुमति दी गई है - उदाहरण के लिए, Google ड्राइव या GitHub के लिए अनुमति।
बलमास बताते हैं कि नमक अनुसंधान टीम ने इस पारिस्थितिकी तंत्र के केवल एक छोटे प्रतिशत की जांच की है, और कहते हैं कि निष्कर्षों से संकेत मिलता है कि अन्य GenAI प्लेटफार्मों और कई मौजूदा और भविष्य के GenAI प्लग-इन के लिए एक बड़ा जोखिम प्रासंगिक है।
बलमास का यह भी कहना है कि ओपनएआई को डेवलपर्स के लिए अपने दस्तावेज़ीकरण में सुरक्षा पर अधिक जोर देना चाहिए, जिससे जोखिमों को कम करने में मदद मिलेगी।
GenAI प्लग-इन सुरक्षा जोखिम बढ़ने की संभावना है
क्रिटिकल स्टार्ट में साइबर खतरा खुफिया अनुसंधान विश्लेषक सारा जोन्स इस बात से सहमत हैं कि साल्ट लैब के निष्कर्ष सुझाव देते हैं व्यापक सुरक्षा जोखिम GenAI प्लग-इन से संबद्ध।
"जैसे-जैसे GenAI वर्कफ़्लो के साथ अधिक एकीकृत होता जाता है, प्लग-इन में कमज़ोरियाँ हमलावरों को विभिन्न प्लेटफ़ॉर्म के भीतर संवेदनशील डेटा या कार्यात्मकताओं तक पहुंच प्रदान कर सकती हैं," वह कहती हैं।
यह GenAI प्लेटफॉर्म और उनके प्लग-इन इकोसिस्टम दोनों के लिए मजबूत सुरक्षा मानकों और नियमित ऑडिट की आवश्यकता पर जोर देता है, क्योंकि हैकर्स ऐसा करना शुरू कर देते हैं। इन प्लेटफार्मों में खामियों को लक्षित करें.
कीपर सिक्योरिटी के सीईओ और सह-संस्थापक डैरेन गुच्चियोन का कहना है कि ये कमजोरियां तीसरे पक्ष के अनुप्रयोगों से जुड़े अंतर्निहित सुरक्षा जोखिमों के बारे में एक "स्पष्ट अनुस्मारक" के रूप में काम करती हैं और संगठनों को अपनी सुरक्षा को मजबूत करने के लिए प्रेरित करना चाहिए।
वे कहते हैं, "जैसे-जैसे संगठन प्रतिस्पर्धा में बढ़त हासिल करने और परिचालन दक्षता बढ़ाने के लिए एआई का लाभ उठाने की कोशिश करते हैं, इन समाधानों को जल्दी से लागू करने के दबाव को सुरक्षा मूल्यांकन और कर्मचारी प्रशिक्षण पर प्राथमिकता नहीं दी जानी चाहिए।"
एआई-सक्षम अनुप्रयोगों के प्रसार ने भी चुनौतियां पेश की हैं सॉफ्टवेयर आपूर्ति श्रृंखला सुरक्षा, संगठनों को अपने सुरक्षा नियंत्रण और डेटा प्रशासन नीतियों को अनुकूलित करने की आवश्यकता होती है।
वह बताते हैं कि कर्मचारी तेजी से एआई टूल में मालिकाना डेटा दर्ज कर रहे हैं - जिसमें बौद्धिक संपदा, वित्तीय डेटा, व्यावसायिक रणनीतियाँ और बहुत कुछ शामिल है - और किसी दुर्भावनापूर्ण अभिनेता द्वारा अनधिकृत पहुंच किसी संगठन के लिए घातक हो सकती है।
उन्होंने चेतावनी देते हुए कहा, "किसी कर्मचारी के गिटहब खाते या अन्य संवेदनशील खातों को खतरे में डालने वाला खाता अधिग्रहण हमला समान रूप से हानिकारक प्रभाव डाल सकता है।"
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/vulnerabilities-threats/critical-chatgpt-plugin-vulnerabilities-expose-sensitive-data
- :हैस
- :है
- :नहीं
- $यूपी
- 7
- a
- About
- गाली
- पहुँच
- लेखा
- अकौन्टस(लेखा)
- अनुकूलन
- प्रभावित करने वाले
- इससे सहमत
- AI
- ए चेट्बोट
- की अनुमति दे
- भी
- an
- विश्लेषक
- और
- कोई
- अनुप्रयोगों
- अनुमोदन
- क्षुधा
- हैं
- AS
- जुड़े
- At
- आक्रमण
- आडिट
- प्रमाणीकरण
- स्वचालित
- जागरूक
- BE
- हो जाता है
- किया गया
- जा रहा है
- बेहतर
- बड़ा
- के छात्रों
- व्यापार
- by
- क्षमताओं
- सावधानियों
- मुख्य कार्यपालक अधिकारी
- कुछ
- श्रृंखला
- चुनौतियों
- chatbot
- ChatGPT
- जाँच
- सह-संस्थापक
- कोड
- कंपनी
- प्रतियोगी
- समझौता
- जुड़ा हुआ
- कनेक्ट कर रहा है
- नियंत्रण
- सका
- साख
- गंभीर
- महत्वपूर्ण
- रिवाज
- साइबर
- हानिकारक
- तिथि
- गढ़
- डेवलपर्स
- विकास
- दस्तावेज़ीकरण
- द्वारा
- ड्राइव
- दौरान
- पारिस्थितिकी तंत्र
- पारिस्थितिकी प्रणालियों
- Edge
- दक्षता
- जोर
- पर जोर देती है
- कर्मचारी
- कर्मचारियों
- रोजगार
- समर्थकारी
- बढ़ाना
- में प्रवेश
- समान रूप से
- मूल्यांकन
- सबूत
- उदाहरण
- निष्पादित
- मौजूदा
- शोषित
- शोषण
- उजागर
- विस्तार
- विस्तार
- बाहरी
- अभिनंदन करना
- वित्तीय
- वित्तीय आँकड़ा
- निष्कर्ष
- प्रथम
- तय
- खामियां
- के लिए
- पाया
- ढांचा
- कार्यक्षमताओं
- कार्यों
- आगे
- भविष्य
- लाभ
- जेनाई
- उत्पादक
- जनरेटिव एआई
- GitHub
- दी
- गूगल
- शासन
- देने
- हैकर्स
- था
- है
- he
- मदद
- कैसे
- How To
- HTTPS
- सैकड़ों
- Impacts
- अभिनय करना
- लागू करने के
- in
- शामिल
- सहित
- बढ़ना
- तेजी
- संकेत मिलता है
- निहित
- स्थापना
- एकीकृत
- बौद्धिक
- बौद्धिक संपदा
- बुद्धि
- बातचीत
- में
- शुरू की
- शामिल
- मुद्दों
- जोंस
- जेपीजी
- प्रयोगशाला
- लैब्स
- नेताओं
- प्रमुख
- लीवरेज
- पसंद
- संभावित
- निर्माण
- दुर्भावनापूर्ण
- बहुत
- मई..
- उपायों
- आदर्श
- अधिक
- चाहिए
- आवश्यकता
- नया
- नहीं
- विख्यात
- of
- on
- केवल
- खुला
- OpenAI
- परिचालन
- or
- संगठन
- संगठनों
- अन्य
- आउट
- के ऊपर
- प्रतिशतता
- अनुमति
- अनुमतियाँ
- मंच
- प्लेटफार्म
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- बिन्दु
- अंक
- नीतियाँ
- लोकप्रिय
- संभव
- संभावित
- अध्यक्ष
- दबाव
- उचित
- संपत्ति
- मालिकाना
- प्रदान करना
- प्रकाशित
- रखना
- जल्दी से
- की सिफारिश की
- को कम करने
- नियमित
- प्रासंगिक
- अनुस्मारक
- रिपोर्ट
- अनुसंधान
- शोधकर्ताओं
- की समीक्षा
- जोखिम
- जोखिम
- मजबूत
- भीड़
- s
- नमक
- कहते हैं
- सुरक्षा
- सुरक्षा उपाय
- सुरक्षा जोखिम
- देखा
- संवेदनशील
- भेजा
- सेवा
- सेवाएँ
- वह
- चाहिए
- के बाद से
- छोटा
- So
- समाधान ढूंढे
- जल्दी
- विशेष रूप से
- मानकों
- निरा
- प्रारंभ
- शुरुआत में
- रणनीतियों
- सुझाव
- आपूर्ति
- आपूर्ति श्रृंखला
- उपयुक्त
- लेना
- अधिग्रहण
- कार्य
- टीम
- कि
- RSI
- लेकिन हाल ही
- उन
- वहाँ।
- इन
- वे
- तीसरे दल
- इसका
- उन
- हजारों
- धमकी
- यहाँ
- सेवा मेरे
- उपकरण
- प्रशिक्षण
- चाल
- अनधिकृत
- पर्दाफाश
- समझना
- अपडेट
- उपयोग
- उपयोगकर्ता
- उपयोगकर्ताओं
- का उपयोग
- विभिन्न
- व्यापक
- संस्करणों
- उपाध्यक्ष
- वाइस राष्ट्रपति
- कमजोरियों
- था
- we
- वेबसाइटों
- थे
- क्या
- कब
- कौन कौन से
- मर्जी
- साथ में
- अंदर
- workflows
- होगा
- जेफिरनेट