Drie beveiligingsproblemen die zijn ontdekt in de extensiefuncties die ChatGPT gebruikt, openen de deur naar ongeautoriseerde, zero-click toegang tot gebruikersaccounts en -diensten, inclusief gevoelige opslagplaatsen op platforms als GitHub.
ChatGPT-plug-ins en aangepaste versies van ChatGPT, gepubliceerd door ontwikkelaars, breiden de mogelijkheden van het AI-model uit en maken interacties met externe diensten mogelijk door OpenAI's populaire generatieve AI-chatbot toegang en toestemming te verlenen om taken uit te voeren op verschillende websites van derden, waaronder GitHub en Google Drive .
Onderzoekers van Salt Labs ontdekten het drie kritieke kwetsbaarheden die ChatGPT beïnvloeden, waarvan de eerste plaatsvindt tijdens de installatie van nieuwe plug-ins, wanneer ChatGPT gebruikers omleidt naar plug-inwebsites voor goedkeuring van de code. Door hiervan misbruik te maken, kunnen aanvallers gebruikers ertoe verleiden kwaadaardige code goed te keuren, wat leidt tot de automatische installatie van ongeautoriseerde plug-ins en mogelijke daaropvolgende accountcompromissen.
Ten tweede ontbeert PluginLab, een raamwerk voor de ontwikkeling van plug-ins, de juiste gebruikersauthenticatie, waardoor aanvallers zich kunnen voordoen als gebruikers en accountovernames kunnen uitvoeren, zoals te zien is bij de “AskTheCode” plug-in die ChatGPT met GitHub verbindt.
Ten slotte ontdekten Salt-onderzoekers dat bepaalde plug-ins gevoelig waren voor Manipulatie van OAuth-omleiding, waardoor aanvallers kwaadaardige URL's kunnen invoegen en gebruikersgegevens kunnen stelen, waardoor verdere accountovernames worden vergemakkelijkt.
In het rapport wordt opgemerkt dat de problemen inmiddels zijn opgelost en dat er geen bewijs is dat er misbruik is gemaakt van de kwetsbaarheden. Gebruikers moeten hun apps daarom zo snel mogelijk updaten.
Beveiligingsproblemen van GenAI brengen een enorm ecosysteem in gevaar
Yaniv Balmas, vice-president onderzoek bij Salt Security, zegt dat de problemen die het onderzoeksteam heeft gevonden honderdduizenden gebruikers en organisaties in gevaar kunnen brengen.
“Beveiligingsleiders bij elke organisatie moeten de risico’s beter begrijpen, dus moeten ze beoordelen welke plug-ins en GPT’s hun bedrijf gebruikt en welke accounts van derden via deze plug-ins en GPT’s worden blootgesteld”, zegt hij. “Als uitgangspunt raden we aan een beveiligingsbeoordeling van hun code uit te voeren.”
Voor plug-ins en GPT-ontwikkelaars raadt Balmas ontwikkelaars aan zich beter bewust te zijn van de interne werking van het GenAI-ecosysteem, de betrokken beveiligingsmaatregelen, hoe ze te gebruiken en hoe ze te misbruiken. Dat omvat specifiek welke gegevens naar GenAI worden verzonden en welke machtigingen worden gegeven aan het GenAI-platform of de aangesloten plug-ins van derden, bijvoorbeeld toestemming voor Google Drive of GitHub.
Balmas wijst erop dat het Salt-onderzoeksteam slechts een klein percentage van dit ecosysteem heeft gecontroleerd, en zegt dat de bevindingen erop wijzen dat er een groter risico bestaat dat relevant is voor andere GenAI-platforms en voor veel bestaande en toekomstige GenAI-plug-ins.
Balmas zegt ook dat OpenAI meer nadruk moet leggen op beveiliging in hun documentatie voor ontwikkelaars, wat de risico's zal helpen verminderen.
Beveiligingsrisico's van GenAI-plug-ins zullen waarschijnlijk toenemen
Sarah Jones, onderzoeksanalist op het gebied van cyberdreigingen bij Critical Start, is het ermee eens dat de bevindingen van Salt Lab wijzen op een breder veiligheidsrisico geassocieerd met GenAI-plug-ins.
“Naarmate GenAI meer geïntegreerd raakt met workflows, kunnen kwetsbaarheden in plug-ins aanvallers toegang geven tot gevoelige gegevens of functionaliteiten binnen verschillende platforms”, zegt ze.
Dit benadrukt de noodzaak van robuuste beveiligingsstandaarden en regelmatige audits voor zowel GenAI-platforms als hun plug-in-ecosystemen, nu hackers beginnen richt zich op tekortkomingen in deze platforms.
Darren Guccione, CEO en mede-oprichter van Keeper Security, zegt dat deze kwetsbaarheden dienen als een “sterke herinnering” aan de inherente veiligheidsrisico’s die gepaard gaan met applicaties van derden en organisaties ertoe zouden moeten aanzetten hun verdediging te versterken.
“Nu organisaties zich haasten om AI in te zetten om een concurrentievoordeel te behalen en de operationele efficiëntie te verbeteren, mag de druk om deze oplossingen snel te implementeren geen voorrang krijgen op beveiligingsevaluaties en training van werknemers”, zegt hij.
De proliferatie van door AI ondersteunde toepassingen heeft ook voor uitdagingen gezorgd in de sector beveiliging van de toeleveringsketen van software, waardoor organisaties hun beveiligingscontroles en databeheerbeleid moeten aanpassen.
Hij wijst erop dat werknemers steeds vaker bedrijfseigen gegevens invoeren in AI-tools – waaronder intellectueel eigendom, financiële gegevens, bedrijfsstrategieën en meer – en dat ongeautoriseerde toegang door een kwaadwillende actor verlammend kan zijn voor een organisatie.
“Een aanval op een accountovername die het GitHub-account van een werknemer of andere gevoelige accounts in gevaar brengt, kan even schadelijke gevolgen hebben”, waarschuwt hij.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/critical-chatgpt-plugin-vulnerabilities-expose-sensitive-data
- : heeft
- :is
- :niet
- $UP
- 7
- a
- Over
- misbruik
- toegang
- Account
- accounts
- aanpassen
- die van invloed
- eens
- AI
- AI chatbot
- Het toestaan
- ook
- an
- analist
- en
- elke
- toepassingen
- goedkeuring
- apps
- ZIJN
- AS
- geassocieerd
- At
- aanvallen
- audits
- authenticatie
- Automatisch
- bewust
- BE
- wordt
- geweest
- wezen
- Betere
- groter
- zowel
- bedrijfsdeskundigen
- by
- mogelijkheden
- waarschuwt
- ceo
- zeker
- keten
- uitdagingen
- Chatbot
- ChatGPT
- gecontroleerd
- Mede-oprichter
- code
- afstand
- concurrerend
- compromis
- gekoppeld blijven
- Wij verbinden
- controles
- kon
- Geloofsbrieven
- verlammend
- kritisch
- gewoonte
- cyber
- te beschadigen
- gegevens
- afweer
- ontwikkelaars
- Ontwikkeling
- documentatie
- Deur
- rit
- gedurende
- ecosysteem
- ecosystemen
- rand
- doeltreffendheid
- nadruk
- benadrukt
- Werknemer
- medewerkers
- telt
- waardoor
- verhogen
- het invoeren van
- even
- evaluaties
- bewijzen
- voorbeeld
- uitvoeren
- bestaand
- Exploited
- uitbuiten
- blootgestelde
- verlengen
- uitbreiding
- extern
- faciliterende
- financieel
- financiële data
- bevindingen
- Voornaam*
- vast
- gebreken
- Voor
- gevonden
- Achtergrond
- functionaliteiten
- functies
- verder
- toekomst
- Krijgen
- genai
- generatief
- generatieve AI
- GitHub
- gegeven
- Kopen Google Reviews
- bestuur
- toekenning
- Hackers
- HAD
- Hebben
- he
- hulp
- Hoe
- How To
- HTTPS
- Honderden
- Effecten
- verpersoonlijken
- uitvoeren
- in
- omvat
- Inclusief
- Laat uw omzet
- in toenemende mate
- aangeven
- inherent
- installatie
- geïntegreerde
- intellectueel
- intellectueel eigendom
- Intelligentie
- interacties
- in
- geïntroduceerd
- betrokken zijn
- problemen
- jones
- jpg
- laboratorium
- Labs
- leiders
- leidend
- Hefboomwerking
- als
- Waarschijnlijk
- maken
- kwaadaardig
- veel
- Mei..
- maatregelen
- model
- meer
- Dan moet je
- Noodzaak
- New
- geen
- bekend
- of
- on
- Slechts
- open
- OpenAI
- operationele
- or
- organisatie
- organisaties
- Overige
- uit
- over
- percentage
- toestemming
- permissies
- platform
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- punt
- punten
- beleidsmaatregelen door te lezen.
- Populair
- mogelijk
- potentieel
- president
- druk
- gepast
- eigendom
- gepatenteerd
- zorgen voor
- gepubliceerde
- zetten
- snel
- beveelt
- verminderen
- regelmatig
- relevante
- herinnering
- verslag
- onderzoek
- onderzoekers
- beoordelen
- Risico
- risico's
- robuust
- haast
- s
- zout
- zegt
- veiligheid
- Veiligheidsmaatregelen
- veiligheidsrisico's
- gezien
- gevoelig
- verzonden
- dienen
- Diensten
- ze
- moet
- sinds
- Klein
- So
- Oplossingen
- binnenkort
- specifiek
- normen
- sterk
- begin
- Start
- strategieën
- stel
- leveren
- toeleveringsketen
- geneigd
- Nemen
- overnemen
- taken
- team
- dat
- De
- hun
- Ze
- Er.
- Deze
- ze
- van derden
- dit
- die
- duizenden kosten
- bedreiging
- Door
- naar
- tools
- Trainingen
- truc
- onbevoegd
- ongedekt
- begrijpen
- bijwerken
- .
- Gebruiker
- gebruikers
- gebruik
- divers
- groot
- versies
- vice
- Vice President
- kwetsbaarheden
- was
- we
- websites
- waren
- Wat
- wanneer
- welke
- wil
- Met
- binnen
- workflows
- zou
- zephyrnet