Tiga kerentanan keamanan yang ditemukan dalam fungsi ekstensi yang digunakan ChatGPT membuka pintu bagi akses tanpa klik tanpa izin ke akun dan layanan pengguna, termasuk repositori sensitif pada platform seperti GitHub.
Plug-in ChatGPT dan versi khusus ChatGPT yang diterbitkan oleh pengembang memperluas kemampuan model AI, memungkinkan interaksi dengan layanan eksternal dengan memberikan akses dan izin chatbot AI generatif OpenAI yang populer untuk menjalankan tugas di berbagai situs web pihak ketiga, termasuk GitHub dan Google Drive .
Peneliti Salt Labs mengungkap hal tersebut tiga kerentanan kritis yang memengaruhi ChatGPT, yang pertama terjadi selama penginstalan plugin baru, saat ChatGPT mengalihkan pengguna ke situs web plugin untuk persetujuan kode. Dengan mengeksploitasi hal ini, penyerang dapat mengelabui pengguna agar menyetujui kode berbahaya, sehingga menyebabkan instalasi otomatis plugin yang tidak sah dan potensi penyusupan akun lanjutan.
Kedua, PluginLab, sebuah kerangka kerja untuk pengembangan plug-in, tidak memiliki otentikasi pengguna yang tepat, sehingga memungkinkan penyerang untuk menyamar sebagai pengguna dan melakukan pengambilalihan akun, seperti yang terlihat pada plug-in โAskTheCodeโ yang menghubungkan ChatGPT dengan GitHub.
Terakhir, peneliti Salt menemukan bahwa plugin tertentu rentan terhadap hal ini Manipulasi pengalihan OAuth, memungkinkan penyerang memasukkan URL jahat dan mencuri kredensial pengguna, sehingga memfasilitasi pengambilalihan akun lebih lanjut.
Laporan tersebut mencatat bahwa masalah tersebut telah diperbaiki dan tidak ada bukti bahwa kerentanan telah dieksploitasi, sehingga pengguna harus memperbarui aplikasi mereka sesegera mungkin.
Masalah Keamanan GenAI Membahayakan Ekosistem Luas
Yaniv Balmas, wakil presiden penelitian di Salt Security, mengatakan masalah yang ditemukan tim peneliti dapat membahayakan ratusan ribu pengguna dan organisasi.
โPemimpin keamanan di organisasi mana pun harus lebih memahami risikonya, sehingga mereka harus meninjau plug-in dan GPT apa yang digunakan perusahaan mereka dan akun pihak ketiga apa yang terekspos melalui plug-in dan GPT tersebut,โ katanya. โSebagai titik awal, kami menyarankan untuk melakukan tinjauan keamanan terhadap kode mereka.โ
Untuk pengembang plug-in dan GPT, Balmas merekomendasikan pengembang untuk lebih menyadari internal ekosistem GenAI, langkah-langkah keamanan yang terlibat, cara menggunakannya, dan cara menyalahgunakannya. Hal ini secara khusus mencakup data apa yang dikirim ke GenAI, dan izin apa yang diberikan kepada platform GenAI atau plugin pihak ketiga yang terhubung โ misalnya, izin untuk Google Drive atau GitHub.
Balmas menunjukkan bahwa tim peneliti Salt hanya memeriksa sebagian kecil dari ekosistem ini, dan mengatakan bahwa temuan tersebut menunjukkan adanya risiko yang lebih besar yang relevan dengan platform GenAI lainnya, dan banyak plugin GenAI yang sudah ada dan yang akan datang.
Balmas juga mengatakan bahwa OpenAI harus lebih menekankan keamanan dalam dokumentasinya untuk pengembang, yang akan membantu mengurangi risiko.
Risiko Keamanan Plug-in GenAI Kemungkinan Meningkat
Sarah Jones, analis riset intelijen ancaman dunia maya di Critical Start, setuju bahwa temuan Salt Lab menunjukkan a risiko keamanan yang lebih luas terkait dengan plug-in GenAI.
โSeiring dengan semakin terintegrasinya GenAI dengan alur kerja, kerentanan pada plug-in dapat memberikan penyerang akses ke data atau fungsi sensitif dalam berbagai platform,โ katanya.
Hal ini menekankan perlunya standar keamanan yang kuat dan audit rutin untuk platform GenAI dan ekosistem plug-innya, seiring dengan mulainya peretas menargetkan kelemahan pada platform ini.
Darren Guccione, CEO dan salah satu pendiri Keeper Security, mengatakan kerentanan ini berfungsi sebagai โpengingat nyataโ tentang risiko keamanan yang melekat pada aplikasi pihak ketiga dan harus mendorong organisasi untuk memperkuat pertahanan mereka.
โSaat organisasi terburu-buru memanfaatkan AI untuk mendapatkan keunggulan kompetitif dan meningkatkan efisiensi operasional, tekanan untuk segera menerapkan solusi ini tidak boleh didahulukan daripada evaluasi keamanan dan pelatihan karyawan,โ katanya.
Proliferasi aplikasi yang mendukung AI juga membawa tantangan keamanan rantai pasokan perangkat lunak, mengharuskan organisasi untuk menyesuaikan kontrol keamanan dan kebijakan tata kelola data mereka.
Dia menunjukkan bahwa semakin banyak karyawan yang memasukkan data kepemilikan ke dalam alat AI โ termasuk kekayaan intelektual, data keuangan, strategi bisnis, dan banyak lagi โ dan akses tidak sah oleh pelaku kejahatan dapat melumpuhkan organisasi.
โSerangan pengambilalihan akun yang membahayakan akun GitHub milik karyawan, atau akun sensitif lainnya, juga dapat menimbulkan dampak yang sama merusaknya,โ dia memperingatkan.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/vulnerabilities-threats/critical-chatgpt-plugin-vulnerabilities-expose-sensitive-data
- :memiliki
- :adalah
- :bukan
- $NAIK
- 7
- a
- Tentang Kami
- penyalahgunaan
- mengakses
- Akun
- Akun
- menyesuaikan
- mempengaruhi
- setuju
- AI
- AI chatbot
- Membiarkan
- juga
- an
- analis
- dan
- Apa pun
- aplikasi
- persetujuan
- aplikasi
- ADALAH
- AS
- terkait
- At
- menyerang
- audit
- Otentikasi
- secara otomatis
- sadar
- BE
- menjadi
- menjadi
- makhluk
- Lebih baik
- lebih besar
- kedua
- bisnis
- by
- kemampuan
- peringatan
- ceo
- tertentu
- rantai
- tantangan
- ChatBot
- ChatGPT
- diperiksa
- Co-founder
- kode
- perusahaan
- kompetitif
- kompromi
- terhubung
- Menghubungkan
- kontrol
- bisa
- Surat kepercayaan
- melumpuhkan
- kritis
- adat
- maya
- merusak
- data
- pertahanan
- pengembang
- Pengembangan
- dokumentasi
- Oleh
- mendorong
- selama
- ekosistem
- Ekosistem
- Tepi
- efisiensi
- tekanan
- menekankan
- Karyawan
- karyawan
- mempekerjakan
- memungkinkan
- mempertinggi
- memasuki
- sama
- evaluasi
- bukti
- contoh
- menjalankan
- ada
- dieksploitasi
- mengeksploitasi
- terkena
- memperpanjang
- perpanjangan
- luar
- memfasilitasi
- keuangan
- data keuangan
- Temuan
- Pertama
- tetap
- kekurangan
- Untuk
- ditemukan
- Kerangka
- fungsionalitas
- fungsi
- lebih lanjut
- masa depan
- Mendapatkan
- genai
- generatif
- AI generatif
- GitHub
- diberikan
- pemerintahan
- pemberian
- hacker
- memiliki
- Memiliki
- he
- membantu
- Seterpercayaapakah Olymp Trade? Kesimpulan
- How To
- HTTPS
- Ratusan
- dampak
- menirukan
- melaksanakan
- in
- termasuk
- Termasuk
- Meningkatkan
- makin
- menunjukkan
- inheren
- instalasi
- terpadu
- cendekiawan
- kekayaan intelektual
- Intelijen
- interaksi
- ke
- diperkenalkan
- terlibat
- masalah
- jones
- jpg
- laboratorium
- Labs
- pemimpin
- terkemuka
- Leverage
- 'like'
- Mungkin
- Membuat
- jahat
- banyak
- Mungkin..
- ukuran
- model
- lebih
- harus
- Perlu
- New
- tidak
- terkenal
- of
- on
- hanya
- Buka
- OpenAI
- operasional
- or
- organisasi
- organisasi
- Lainnya
- di luar
- lebih
- persentase
- izin
- Izin
- Platform
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- Titik
- poin
- Kebijakan
- Populer
- mungkin
- potensi
- presiden
- tekanan
- tepat
- milik
- hak milik
- memberikan
- diterbitkan
- menempatkan
- segera
- merekomendasikan
- menurunkan
- reguler
- relevan
- peringatan
- melaporkan
- penelitian
- peneliti
- ulasan
- Risiko
- risiko
- kuat
- buru-buru
- s
- garam
- mengatakan
- keamanan
- Pengamanan
- risiko keamanan
- terlihat
- peka
- mengirim
- melayani
- Layanan
- dia
- harus
- sejak
- kecil
- So
- Solusi
- segera
- Secara khusus
- standar
- sangat
- awal
- Mulai
- strategi
- menyarankan
- menyediakan
- supply chain
- rentan
- Mengambil
- pengambilalihan
- tugas
- tim
- bahwa
- Grafik
- mereka
- Mereka
- Sana.
- Ini
- mereka
- pihak ketiga
- ini
- itu
- ribuan
- ancaman
- Melalui
- untuk
- alat
- Pelatihan
- trik
- tidak sah
- terbongkar
- memahami
- Memperbarui
- menggunakan
- Pengguna
- Pengguna
- menggunakan
- berbagai
- Luas
- Versi
- wakil
- Wakil Presiden
- Kerentanan
- adalah
- we
- situs web
- adalah
- Apa
- ketika
- yang
- akan
- dengan
- dalam
- Alur kerja
- akan
- zephyrnet.dll