ChatGPT가 사용하는 확장 기능에서 세 가지 보안 취약점이 발견되어 GitHub와 같은 플랫폼의 민감한 저장소를 포함하여 사용자 계정 및 서비스에 대한 무단 제로 클릭 액세스가 가능해졌습니다.
ChatGPT 플러그인과 개발자가 게시한 ChatGPT의 사용자 정의 버전은 AI 모델의 기능을 확장하여 OpenAI의 인기 있는 생성 AI 챗봇 액세스 및 GitHub 및 Google 드라이브를 포함한 다양한 타사 웹사이트에서 작업을 실행할 수 있는 권한을 부여하여 외부 서비스와의 상호 작용을 가능하게 합니다. .
Salt Labs 연구진은 다음과 같은 사실을 발견했습니다. ChatGPT에 영향을 미치는 세 가지 심각한 취약점, 첫 번째는 새 플러그인을 설치하는 동안 ChatGPT가 코드 승인을 위해 사용자를 플러그인 웹사이트로 리디렉션할 때 발생합니다. 공격자는 이를 악용하여 사용자를 속여 악성 코드를 승인하도록 유도할 수 있으며, 이로 인해 승인되지 않은 플러그인이 자동으로 설치되고 후속 계정 손상이 발생할 수 있습니다.
둘째, 플러그인 개발을 위한 프레임워크인 PluginLab에는 적절한 사용자 인증이 부족하여 ChatGPT와 GitHub를 연결하는 "AskTheCode" 플러그인에서 볼 수 있듯이 공격자가 사용자를 가장하고 계정 탈취를 실행할 수 있습니다.
마지막으로 Salt 연구원들은 특정 플러그인이 다음과 같은 공격에 취약하다는 사실을 발견했습니다. OAuth 리디렉션 조작, 공격자가 악성 URL을 삽입하고 사용자 자격 증명을 훔칠 수 있도록 허용하여 추가 계정 탈취를 용이하게 합니다.
보고서는 이후 문제가 수정되었으며 취약점이 악용되었다는 증거가 없으므로 사용자는 가능한 한 빨리 앱을 업데이트해야 한다고 지적했습니다.
GenAI 보안 문제로 인해 광범위한 생태계가 위험에 빠짐
솔트 시큐리티(Salt Security) 연구 부사장 야니브 발마스(Yaniv Balmas)는 연구팀이 발견한 문제로 인해 수십만 명의 사용자와 조직이 위험에 빠질 수 있다고 말했습니다.
그는 "모든 조직의 보안 리더는 위험을 더 잘 이해해야 합니다. 따라서 회사에서 사용하는 플러그인과 GPT가 무엇인지, 해당 플러그인과 GPT를 통해 노출되는 타사 계정이 무엇인지 검토해야 합니다"라고 말했습니다. “우선적으로 코드에 대한 보안 검토를 제안할 것입니다.”
플러그인 및 GPT 개발자의 경우 Balmas는 개발자가 GenAI 생태계의 내부, 관련 보안 조치, 사용 방법 및 남용 방법을 더 잘 알고 있을 것을 권장합니다. 여기에는 구체적으로 GenAI로 전송되는 데이터와 GenAI 플랫폼 또는 연결된 타사 플러그인에 부여되는 권한(예: Google Drive 또는 GitHub에 대한 권한)이 포함됩니다.
Balmas는 솔트 연구팀이 이 생태계의 극히 일부만 확인했다고 지적하며, 이번 연구 결과는 다른 GenAI 플랫폼과 기존 및 미래의 많은 GenAI 플러그인과 관련된 더 큰 위험이 있음을 나타냅니다.
Balmas는 또한 OpenAI가 개발자를 위한 문서에서 보안에 더 중점을 두어 위험을 줄이는 데 도움이 되어야 한다고 말했습니다.
GenAI 플러그인 보안 위험 증가 가능성
Critical Start의 사이버 위협 인텔리전스 연구 분석가인 Sarah Jones는 Salt Lab의 조사 결과에 동의합니다. 광범위한 보안 위험 GenAI 플러그인과 연결됩니다.
"GenAI가 워크플로와 더욱 통합됨에 따라 플러그인의 취약점으로 인해 공격자가 다양한 플랫폼 내의 민감한 데이터나 기능에 액세스할 수 있게 될 수 있습니다."라고 그녀는 말합니다.
이는 해커들이 공격을 시작함에 따라 GenAI 플랫폼과 해당 플러그인 생태계 모두에 대한 강력한 보안 표준과 정기 감사의 필요성을 강조합니다. 이 플랫폼의 결함을 목표로 삼아.
Keeper Security의 CEO이자 공동 창립자인 Darren Guccione은 이러한 취약점이 타사 애플리케이션과 관련된 내재된 보안 위험에 대해 "명백하게 상기시켜 주는 역할을 하며 조직이 방어를 강화하도록 유도해야 합니다"라고 말합니다.
“조직이 경쟁 우위를 확보하고 운영 효율성을 높이기 위해 AI를 활용하려고 서두르는 상황에서 이러한 솔루션을 신속하게 구현해야 한다는 압력이 보안 평가 및 직원 교육보다 우선되어서는 안 됩니다.”라고 그는 말합니다.
AI 지원 애플리케이션의 확산으로 인해 다음과 같은 문제도 발생했습니다. 소프트웨어 공급망 보안, 조직은 보안 제어 및 데이터 거버넌스 정책을 조정해야 합니다.
그는 직원들이 지적 재산, 재무 데이터, 비즈니스 전략 등을 포함한 독점 데이터를 AI 도구에 점점 더 많이 입력하고 있으며 악의적인 행위자의 무단 액세스가 조직에 심각한 타격을 줄 수 있다고 지적합니다.
“직원의 GitHub 계정이나 기타 민감한 계정을 위험에 빠뜨리는 계정 탈취 공격도 마찬가지로 피해를 입힐 수 있습니다.”라고 그는 경고합니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/vulnerabilities-threats/critical-chatgpt-plugin-vulnerabilities-expose-sensitive-data
- :있다
- :이다
- :아니
- $UP
- 7
- a
- 소개
- 남용
- ACCESS
- 계정
- 계정
- 각색하다
- 에 영향을 미치는
- 동의하다
- AI
- 인공 지능 봇봇
- 허용
- 또한
- an
- 분석자
- 및
- 어떤
- 어플리케이션
- 승인
- 앱
- 있군요
- AS
- 관련
- At
- 공격
- 감사
- 인증
- Automatic
- 인식
- BE
- 된다
- 된
- 존재
- 더 나은
- 더 큰
- 두
- 사업
- by
- 기능
- 주의 사항
- 대표 이사
- 어떤
- 체인
- 과제
- 채팅 봇
- ChatGPT
- 체크
- 공동 설립자
- 암호
- 회사
- 경쟁력
- 타협
- 연결
- 연결
- 컨트롤
- 수
- 신임장
- 졸졸
- 임계
- 관습
- 사이버
- 손상
- 데이터
- 방어 시설
- 개발자
- 개발
- 선적 서류 비치
- 문
- 드라이브
- ...동안
- 생태계
- 생태계
- Edge
- 효율성
- 강조
- 강조하다
- 종업원
- 직원
- 고용하다
- 가능
- 강화
- 입력
- 균일하게
- 평가
- 증거
- 예
- 실행
- 현존하는
- 악용
- 착취
- 드러난
- 확장
- 확장자
- 외부
- 촉진
- 금융
- 재무 데이터
- 결과
- 먼저,
- 고정
- 결함
- 럭셔리
- 발견
- 뼈대
- 기능성
- 기능
- 추가
- 미래
- 이득
- 제나이
- 생성적인
- 제너레이티브 AI
- GitHub의
- 주어진
- 구글
- 통치
- 부여
- 해커
- 했다
- 있다
- he
- 도움
- 방법
- How To
- HTTPS
- 수백
- 영향
- 명의를 도용하다
- 구현
- in
- 포함
- 포함
- 증가
- 더욱 더
- 표시
- 고유의
- 설치
- 통합 된
- 지적인
- 지적 재산권
- 인텔리전스
- 상호 작용
- 으로
- 소개
- 참여
- 문제
- 존스
- JPG
- 실험실
- 실험실
- 지도자
- 지도
- 이점
- 처럼
- 아마도
- 유튜브 영상을 만드는 것은
- 악의있는
- .
- XNUMX월..
- 조치들
- 모델
- 배우기
- 절대로 필요한 것
- 필요
- 신제품
- 아니
- 유명한
- of
- on
- 만
- 열 수
- OpenAI
- 운영
- or
- 조직
- 조직
- 기타
- 아웃
- 위에
- tỷ lệ phần trăm
- 허가
- 권한
- 플랫폼
- 플랫폼
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 포인트 적립
- 전철기
- 정책
- 인기 문서
- 가능한
- 가능성
- 대통령
- 압박
- 적절한
- 재산
- 소유권
- 제공
- 출판
- 놓다
- 빨리
- 추천하다
- 감소
- 정규병
- 관련된
- 알림
- 신고
- 연구
- 연구원
- 리뷰
- 위험
- 위험
- 강력한
- 돌진
- s
- 소금
- 라고
- 보안
- 보안 조치
- 보안 위험
- 본
- 민감한
- 전송
- 서브
- 서비스
- 그녀
- 영상을
- 이후
- 작은
- So
- 솔루션
- 곧
- 구체적으로
- 기준
- 뚜렷한
- 스타트
- 시작 중
- 전략들
- 제안
- 공급
- 공급망
- 느끼기 쉬운
- 받아
- 인계
- 작업
- 팀
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- 그곳에.
- Bowman의
- 그들
- 타사
- 이
- 그
- 수천
- 위협
- 을 통하여
- 에
- 검색을
- 트레이닝
- 비결
- 무단의
- 발견
- 이해
- 업데이트
- 사용
- 사용자
- 사용자
- 사용
- 여러
- 거대한
- 버전
- 바이스
- 부통령
- 취약점
- 였다
- we
- 웹 사이트
- 했다
- 뭐
- 언제
- 어느
- 의지
- 과
- 이내
- 워크 플로우
- 겠지
- 제퍼 넷