שלוש פרצות אבטחה שנחשפו בפונקציות ההרחבה ש-ChatGPT משתמשת בהן פותחות את הדלת לגישה לא מורשית, ללא קליקים, לחשבונות ולשירותים של משתמשים, כולל מאגרים רגישים בפלטפורמות כמו GitHub.
תוספי ChatGPT וגרסאות מותאמות אישית של ChatGPT שפורסמו על ידי מפתחים מרחיבים את היכולות של מודל הבינה המלאכותית, ומאפשרים אינטראקציות עם שירותים חיצוניים על ידי הענקת צ'אטבוט ה-AI הפופולרי של OpenAI גישה והרשאות לביצוע משימות באתרי צד שלישי שונים, כולל GitHub ו-Google Drive .
חוקרי מעבדות המלח חשפו את שלוש נקודות תורפה קריטיות המשפיעות על ChatGPT, הראשון שבהם מתרחש במהלך התקנת תוספים חדשים, כאשר ChatGPT מפנה משתמשים לאתרי פלאגין לצורך אישור קוד. על ידי ניצול זה, התוקפים עלולים להערים על משתמשים לאשר קוד זדוני, מה שיוביל להתקנה אוטומטית של יישומי פלאגין לא מורשים ולפגיעה אפשרית בחשבון.
שנית, PluginLab, מסגרת לפיתוח פלאגין, חסרה אימות משתמש מתאים, מה שמאפשר לתוקפים להתחזות למשתמשים ולבצע השתלטות על חשבונות, כפי שניתן לראות בתוסף "AskTheCode" המחבר את ChatGPT עם GitHub.
לבסוף, חוקרי מלח גילו שתוספי פלאגין מסוימים היו רגישים מניפולציה של ניתוב מחדש של OAuth, המאפשר לתוקפים להכניס כתובות URL זדוניות ולגנוב אישורי משתמש, מה שמקל על השתלטות נוספת על החשבונות.
הדו"ח ציין שהבעיות תוקנו מאז ולא היו ראיות לכך שהחולשות נוצלו, ולכן על המשתמשים לעדכן את האפליקציות שלהם בהקדם האפשרי.
בעיות אבטחה של GenAI מציבות מערכת אקולוגית עצומה בסיכון
יניב בלמאס, סגן נשיא למחקר ב-Salt Security, אומר שהבעיות שצוות המחקר מצא עלולות לסכן מאות אלפי משתמשים וארגונים.
"מנהיגי אבטחה בכל ארגון חייבים להבין טוב יותר את הסיכון, ולכן עליהם לסקור באילו פלאגינים ו-GPTs החברה שלהם משתמשת ואילו חשבונות צד שלישי נחשפים דרך אותם פלאגינים ו-GPTs", הוא אומר. "כנקודת התחלה, אנו מציעים לערוך סקירת אבטחה של הקוד שלהם."
עבור מפתחי פלאגין ומפתחי GPT, Balmas ממליץ למפתחים להיות מודעים יותר לחלק הפנימי של מערכת האקולוגית של GenAI, לאמצעי האבטחה המעורבים, כיצד להשתמש בהם וכיצד להשתמש בהם לרעה. זה כולל ספציפית אילו נתונים נשלחים ל-GenAI, ואילו הרשאות ניתנות לפלטפורמת GenAI או לתוספי צד שלישי המחוברים - למשל, הרשאה ל-Google Drive או GitHub.
Balmas מציין שצוות המחקר של Salt בדק רק אחוז קטן מהמערכת האקולוגית הזו, ואומר שהממצאים מצביעים על סיכון גדול יותר הרלוונטי לפלטפורמות GenAI אחרות, ורבים מהפלאגינים הקיימים והעתידיים של GenAI.
Balmas גם אומר ש-OpenAI צריך לשים יותר דגש על אבטחה בתיעוד שלהם עבור מפתחים, מה שיעזור להפחית את הסיכונים.
סיכוני האבטחה של תוסף GenAI צפויים לגדול
שרה ג'ונס, אנליסטית מחקר מודיעין איומי סייבר ב-Critical Start, מסכימה שממצאי מעבדת המלח מצביעים על סיכון אבטחה רחב יותר הקשורים לתוספי GenAI.
"ככל שה-GenAI משתלב יותר עם זרימות עבודה, פגיעויות בתוספים עשויות לספק לתוקפים גישה לנתונים רגישים או פונקציונליות בתוך פלטפורמות שונות", היא אומרת.
זה מדגיש את הצורך בתקני אבטחה חזקים ובביקורות קבועות עבור פלטפורמות GenAI והן למערכות אקולוגיות של הפלאגין שלהן, כאשר האקרים מתחילים מטרת פגמים בפלטפורמות אלה.
דארן גוצ'יון, מנכ"ל ומייסד שותף ב-Keeper Security, אומר שפגיעויות אלו משמשות "תזכורת נוקבת" לגבי סיכוני האבטחה הטמונים באפליקציות של צד שלישי וצריכות לגרום לארגונים לחזק את ההגנות שלהם.
"כשארגונים ממהרים למנף בינה מלאכותית כדי להשיג יתרון תחרותי ולשפר את היעילות התפעולית, הלחץ ליישם במהירות את הפתרונות הללו לא צריך לקבל עדיפות על פני הערכות אבטחה והכשרת עובדים", הוא אומר.
התפשטות היישומים התומכים בבינה מלאכותית הציגה גם אתגרים בתחום אבטחת שרשרת אספקת תוכנה, הדורשים מארגונים להתאים את בקרות האבטחה ומדיניות ניהול הנתונים שלהם.
הוא מציין שעובדים מכניסים יותר ויותר נתונים קנייניים לכלי בינה מלאכותית - כולל קניין רוחני, נתונים פיננסיים, אסטרטגיות עסקיות ועוד - וגישה לא מורשית של שחקן זדוני עלולה להיות משתקת עבור ארגון.
"מתקפת השתלטות על חשבון המסכנת את חשבון GitHub של עובד, או חשבונות רגישים אחרים, עלולה להיות בעלת השפעות מזיקות באותה מידה", הוא מזהיר.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/vulnerabilities-threats/critical-chatgpt-plugin-vulnerabilities-expose-sensitive-data
- :יש ל
- :הוא
- :לֹא
- $ למעלה
- 7
- a
- אודות
- התעללות
- גישה
- חֶשְׁבּוֹן
- חשבונות
- להסתגל
- משפיע
- מסכים
- AI
- צ 'אט AI
- מאפשר
- גם
- an
- מנתח
- ו
- כל
- יישומים
- הסכמה
- אפליקציות
- ARE
- AS
- המשויך
- At
- לתקוף
- ביקורת
- אימות
- מכני עם סלילה אוטומטית
- מודע
- BE
- הופך להיות
- היה
- להיות
- מוטב
- גדול
- שניהם
- עסקים
- by
- יכולות
- זהירות
- מנכ"ל
- מסוים
- שרשרת
- האתגרים
- chatbot
- ChatGPT
- בָּדוּק
- מייסד שותף
- קוד
- חברה
- תחרותי
- פשרה
- מחובר
- מקשר
- בקרות
- יכול
- אישורים
- משתק
- קריטי
- מנהג
- סייבר
- ניזק
- נתונים
- הגנות
- מפתחים
- צעצועי התפתחות
- תיעוד
- דֶלֶת
- נהיגה
- בְּמַהֲלָך
- המערכת האקולוגית
- מערכות אקולוגיות
- אדג '
- יְעִילוּת
- דגש
- מדגיש
- עובד
- עובדים
- מעסיקה
- מה שמאפשר
- להגביר את
- הזנת
- באותה מידה
- הערכות
- עדות
- דוגמה
- לבצע
- קיימים
- ומנוצל
- מנצל
- חשוף
- להאריך
- הארכה
- חיצוני
- הקלה
- כספי
- מידע פיננסי
- ממצאים
- ראשון
- קבוע
- פגמים
- בעד
- מצא
- מסגרת
- פונקציות
- פונקציות
- נוסף
- עתיד
- לְהַשִׂיג
- גנאי
- גנרטטיבית
- AI Generative
- GitHub
- נתן
- ממשל
- הענקת
- האקרים
- היה
- יש
- he
- לעזור
- איך
- איך
- HTTPS
- מאות
- השפעות
- להתחזות
- ליישם
- in
- כולל
- כולל
- להגדיל
- יותר ויותר
- להצביע
- הטמון
- התקנה
- משולב
- אִינטֶלֶקְטוּאַלִי
- קניין רוחני
- מוֹדִיעִין
- יחסי גומלין
- אל תוך
- הציג
- מעורב
- בעיות
- ג'ונס
- jpg
- מעבדה
- מעבדות
- מנהיגים
- מוביל
- תנופה
- כמו
- סביר
- עשייה
- זדוני
- רב
- מאי..
- אמצעים
- מודל
- יותר
- צריך
- צורך
- חדש
- לא
- ציין
- of
- on
- רק
- לפתוח
- OpenAI
- מבצעי
- or
- ארגון
- ארגונים
- אחר
- הַחוּצָה
- יותר
- אחוזים
- רשות
- הרשאות
- פלטפורמה
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- נקודה
- נקודות
- מדיניות
- פופולרי
- אפשרי
- פוטנציאל
- נשיא
- לחץ
- תָקִין
- רכוש
- קניינית
- לספק
- לאור
- גם
- מהירות
- ממליצה
- להפחית
- רגיל
- רלוונטי
- תזכורת
- לדווח
- מחקר
- חוקרים
- סקירה
- הסיכון
- סיכונים
- חָסוֹן
- לְמַהֵר
- s
- מלח
- אומר
- אבטחה
- אמצעי אבטחה
- סיכוני אבטחה
- לראות
- רגיש
- נשלח
- לשרת
- שירותים
- היא
- צריך
- since
- קטן
- So
- פתרונות
- בקרוב
- במיוחד
- תקנים
- מוּחלָט
- התחלה
- החל
- אסטרטגיות
- להציע
- לספק
- שרשרת אספקה
- apt
- לקחת
- השתלטות
- משימות
- נבחרת
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- שם.
- אלה
- הֵם
- צד שלישי
- זֶה
- אלה
- אלפים
- איום
- דרך
- ל
- כלים
- הדרכה
- טריק
- לא מורשה
- חָשׂוּף
- להבין
- עדכון
- להשתמש
- משתמש
- משתמשים
- באמצעות
- שונים
- Vast
- גירסאות
- סְגָן
- סגן הנשיא
- פגיעויות
- היה
- we
- אתרים
- היו
- מה
- מתי
- אשר
- יצטרך
- עם
- בתוך
- זרימות עבודה
- היה
- זפירנט