Três vulnerabilidades de segurança descobertas nas funções de extensão que o ChatGPT emprega abrem a porta para acesso não autorizado e sem cliques às contas e serviços dos usuários, incluindo repositórios confidenciais em plataformas como GitHub.
Plug-ins ChatGPT e versões personalizadas do ChatGPT publicadas por desenvolvedores ampliam os recursos do modelo de IA, permitindo interações com serviços externos, concedendo ao popular chatbot de IA generativo da OpenAI acesso e permissões para executar tarefas em vários sites de terceiros, incluindo GitHub e Google Drive .
Os pesquisadores do Salt Labs descobriram o três vulnerabilidades críticas que afetam o ChatGPT, a primeira delas ocorre durante a instalação de novos plug-ins, quando o ChatGPT redireciona os usuários para sites de plug-ins para aprovação do código. Ao explorar isso, os invasores podem enganar os usuários para que aprovem códigos maliciosos, levando à instalação automática de plug-ins não autorizados e ao possível comprometimento subsequente da conta.
Em segundo lugar, o PluginLab, uma estrutura para desenvolvimento de plug-ins, carece de autenticação de usuário adequada, permitindo que invasores se façam passar por usuários e executem o controle de contas, como visto com o plug-in “AskTheCode” que conecta o ChatGPT ao GitHub.
Finalmente, os pesquisadores do Salt descobriram que certos plug-ins eram suscetíveis a Manipulação de redirecionamento OAuth, permitindo que invasores insiram URLs maliciosos e roubem credenciais de usuários, facilitando novas invasões de contas.
O relatório observou que os problemas foram corrigidos e não há evidências de que as vulnerabilidades tenham sido exploradas, portanto os usuários devem atualizar seus aplicativos o mais rápido possível.
Problemas de segurança da GenAI colocam um vasto ecossistema em risco
Yaniv Balmas, vice-presidente de pesquisa da Salt Security, diz que os problemas encontrados pela equipe de pesquisa podem colocar em risco centenas de milhares de usuários e organizações.
“Os líderes de segurança de qualquer organização devem compreender melhor o risco, por isso devem analisar quais plug-ins e GPTs sua empresa está usando e quais contas de terceiros são expostas por meio desses plug-ins e GPTs”, diz ele. “Como ponto de partida, sugerimos fazer uma revisão de segurança do seu código.”
Para desenvolvedores de plug-ins e GPT, Balmas recomenda que os desenvolvedores estejam mais conscientes dos aspectos internos do ecossistema GenAI, das medidas de segurança envolvidas, de como usá-las e de como abusar delas. Isso inclui especificamente quais dados estão sendo enviados para GenAI e quais permissões são concedidas à plataforma GenAI ou aos plug-ins de terceiros conectados – por exemplo, permissão para Google Drive ou GitHub.
Balmas aponta que a equipe de pesquisa do Salt verificou apenas uma pequena porcentagem desse ecossistema e diz que as descobertas indicam que há um risco maior relevante para outras plataformas GenAI e para muitos plug-ins GenAI existentes e futuros.
Balmas também afirma que a OpenAI deveria dar mais ênfase à segurança em sua documentação para desenvolvedores, o que ajudará a reduzir os riscos.
Riscos de segurança do plug-in GenAI com probabilidade de aumentar
Sarah Jones, analista de pesquisa de inteligência sobre ameaças cibernéticas da Critical Start, concorda que as descobertas do Salt Lab sugerem uma risco de segurança mais amplo associado aos plug-ins GenAI.
“À medida que o GenAI se torna mais integrado aos fluxos de trabalho, as vulnerabilidades nos plug-ins podem fornecer aos invasores acesso a dados ou funcionalidades confidenciais em várias plataformas”, diz ela.
Isto enfatiza a necessidade de padrões de segurança robustos e auditorias regulares para as plataformas GenAI e seus ecossistemas de plug-ins, à medida que os hackers começam a identificar falhas nessas plataformas.
Darren Guccione, CEO e cofundador da Keeper Security, diz que essas vulnerabilidades servem como um “lembrete forte” sobre os riscos de segurança inerentes envolvidos em aplicativos de terceiros e devem levar as organizações a reforçar suas defesas.
“À medida que as organizações se apressam a aproveitar a IA para obterem uma vantagem competitiva e melhorarem a eficiência operacional, a pressão para implementar rapidamente estas soluções não deve ter precedência sobre as avaliações de segurança e a formação dos funcionários”, afirma.
A proliferação de aplicações habilitadas para IA também introduziu desafios em segurança da cadeia de suprimentos de software, exigindo que as organizações adaptem os seus controlos de segurança e políticas de governação de dados.
Ele ressalta que os funcionários estão cada vez mais inserindo dados proprietários em ferramentas de IA – incluindo propriedade intelectual, dados financeiros, estratégias de negócios e muito mais – e o acesso não autorizado por um ator mal-intencionado pode ser paralisante para uma organização.
“Um ataque de controle de conta que coloque em risco a conta GitHub de um funcionário, ou outras contas confidenciais, pode ter impactos igualmente prejudiciais”, alerta ele.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/critical-chatgpt-plugin-vulnerabilities-expose-sensitive-data
- :tem
- :é
- :não
- $UP
- 7
- a
- Sobre
- abuso
- Acesso
- Conta
- Contas
- adaptar
- afetando
- concorda
- AI
- Chatbot AI
- Permitindo
- tb
- an
- analista
- e
- qualquer
- aplicações
- aprovação
- Aplicativos
- SOMOS
- AS
- associado
- At
- ataque
- auditorias
- Autenticação
- Automático
- consciente
- BE
- torna-se
- sido
- ser
- Melhor
- maior
- ambos
- negócio
- by
- capacidades
- cuidados
- Chefe executivo
- certo
- cadeia
- desafios
- chatbot
- ChatGPT
- verificado
- Co-fundador
- código
- Empresa
- competitivo
- compromisso
- conectado
- Conexão de
- controles
- poderia
- Credenciais
- aleijante
- crítico
- personalizadas
- cibernético
- danificar
- dados,
- Defesas
- desenvolvedores
- Desenvolvimento
- documentação
- Porta
- distância
- durante
- ecossistema
- ecossistemas
- borda
- eficiência
- ênfase
- enfatiza
- Empregado
- colaboradores
- emprega
- permitindo
- aumentar
- entrar
- igualmente
- avaliações
- evidência
- exemplo
- executar
- existente
- exploradas
- explorando
- exposto
- estender
- extensão
- externo
- facilitando
- financeiro
- dados financeiros
- descobertas
- Primeiro nome
- fixado
- falhas
- Escolha
- encontrado
- Quadro
- funcionalidades
- funções
- mais distante
- futuro
- Ganho
- genai
- generativo
- IA generativa
- GitHub
- dado
- governo
- concessão
- hackers
- tinha
- Ter
- he
- ajudar
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- Centenas
- Impacto
- personificar
- executar
- in
- inclui
- Incluindo
- Crescimento
- cada vez mais
- indicam
- inerente
- instalação
- integrado
- intelectual
- propriedade intelectual
- Inteligência
- interações
- para dentro
- introduzido
- envolvido
- questões
- jones
- jpg
- laboratório
- Laboratório
- líderes
- principal
- Alavancagem
- como
- Provável
- Fazendo
- malicioso
- muitos
- Posso..
- medidas
- modelo
- mais
- devo
- você merece...
- Novo
- não
- notado
- of
- on
- só
- aberto
- OpenAI
- operacional
- or
- organização
- organizações
- Outros
- Fora
- Acima de
- percentagem
- permissão
- permissões
- plataforma
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- ponto
- pontos
- políticas
- Popular
- possível
- potencial
- presidente
- pressão
- adequado
- propriedade
- proprietário
- fornecer
- publicado
- colocar
- rapidamente
- recomenda
- reduzir
- regular
- relevante
- lembrete
- Denunciar
- pesquisa
- pesquisadores
- rever
- Risco
- riscos
- uma conta de despesas robusta
- apressar
- s
- sal
- diz
- segurança
- Medidas de Segurança
- riscos de segurança
- visto
- sensível
- enviei
- servir
- Serviços
- ela
- rede de apoio social
- desde
- pequeno
- So
- Soluções
- em breve
- especificamente
- padrões
- forte
- começo
- Comece
- estratégias
- sugerir
- supply
- cadeia de suprimentos
- suscetível
- Tire
- assumir o controle
- tarefas
- Profissionais
- que
- A
- deles
- Eles
- Lá.
- Este
- deles
- De terceiros
- isto
- aqueles
- milhares
- ameaça
- Através da
- para
- ferramentas
- Training
- truque
- não autorizado
- descoberto
- compreender
- Atualizar
- usar
- Utilizador
- usuários
- utilização
- vário
- Grande
- versões
- vício
- Vice-Presidente
- vulnerabilidades
- foi
- we
- sites
- foram
- O Quê
- quando
- qual
- precisarão
- de
- dentro
- fluxos de trabalho
- seria
- zefirnet