ช่องโหว่ด้านความปลอดภัย 3 รายการที่ถูกค้นพบในฟังก์ชันส่วนขยาย ChatGPT เปิดประตูสู่การเข้าถึงบัญชีและบริการของผู้ใช้โดยไม่ได้รับอนุญาตและไม่ต้องคลิกเป็นศูนย์ รวมถึงพื้นที่เก็บข้อมูลที่ละเอียดอ่อนบนแพลตฟอร์ม เช่น GitHub
ปลั๊กอิน ChatGPT และเวอร์ชันที่กำหนดเองของ ChatGPT ที่เผยแพร่โดยนักพัฒนาช่วยเพิ่มขีดความสามารถของโมเดล AI ช่วยให้สามารถโต้ตอบกับบริการภายนอกได้โดยให้สิทธิ์ในการเข้าถึงแชทบอต AI เจนเนอเรชั่นยอดนิยมของ OpenAI และสิทธิ์ในการดำเนินการบนเว็บไซต์บุคคลที่สามต่างๆ รวมถึง GitHub และ Google Drive .
นักวิจัยของ Salt Labs ค้นพบ ช่องโหว่ร้ายแรงสามช่องโหว่ที่ส่งผลต่อ ChatGPTซึ่งเกิดขึ้นครั้งแรกระหว่างการติดตั้งปลั๊กอินใหม่ เมื่อ ChatGPT เปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ปลั๊กอินเพื่อขออนุมัติโค้ด การใช้ประโยชน์จากสิ่งนี้ ผู้โจมตีอาจหลอกผู้ใช้ให้อนุมัติโค้ดที่เป็นอันตราย ซึ่งนำไปสู่การติดตั้งปลั๊กอินที่ไม่ได้รับอนุญาตโดยอัตโนมัติ และอาจทำให้บัญชีที่ตามมาเสียหายได้
ประการที่สอง PluginLab ซึ่งเป็นเฟรมเวิร์กสำหรับการพัฒนาปลั๊กอิน ขาดการตรวจสอบสิทธิ์ผู้ใช้ที่เหมาะสม ทำให้ผู้โจมตีสามารถปลอมตัวเป็นผู้ใช้และดำเนินการครอบครองบัญชี ดังที่เห็นได้จากปลั๊กอิน “AskTheCode” ที่เชื่อมต่อ ChatGPT กับ GitHub
ในที่สุด นักวิจัยของ Salt พบว่าปลั๊กอินบางตัวมีความอ่อนไหวต่อ การจัดการการเปลี่ยนเส้นทาง OAuthช่วยให้ผู้โจมตีแทรก URL ที่เป็นอันตรายและขโมยข้อมูลรับรองผู้ใช้ อำนวยความสะดวกในการยึดบัญชีเพิ่มเติม
รายงานระบุว่าปัญหาได้รับการแก้ไขตั้งแต่นั้นมา และไม่มีหลักฐานว่าช่องโหว่ดังกล่าวถูกนำไปใช้ประโยชน์ ดังนั้นผู้ใช้ควรอัปเดตแอปของตนโดยเร็วที่สุด
ปัญหาด้านความปลอดภัยของ GenAI ทำให้ระบบนิเวศอันกว้างใหญ่ตกอยู่ในความเสี่ยง
Yaniv Balmas รองประธานฝ่ายวิจัยของ Salt Security กล่าวว่าปัญหาที่ทีมวิจัยพบอาจทำให้ผู้ใช้และองค์กรหลายแสนรายตกอยู่ในความเสี่ยง
“ผู้นำด้านความปลอดภัยในองค์กรใดก็ตามจะต้องเข้าใจความเสี่ยงได้ดีขึ้น ดังนั้นพวกเขาจึงควรตรวจสอบว่าปลั๊กอินและ GPT ใดที่บริษัทของตนใช้อยู่ และบัญชีบุคคลที่สามใดบ้างที่ถูกเปิดเผยผ่านปลั๊กอินและ GPT เหล่านั้น” เขากล่าว “ในจุดเริ่มต้น เราขอแนะนำให้ทำการตรวจสอบความปลอดภัยของโค้ดของพวกเขา”
สำหรับปลั๊กอินและนักพัฒนา GPT Balmas แนะนำให้นักพัฒนาตระหนักถึงระบบภายในของ GenAI มาตรการรักษาความปลอดภัยที่เกี่ยวข้อง วิธีใช้งาน และวิธีละเมิด ซึ่งรวมถึงข้อมูลที่ถูกส่งไปยัง GenAI โดยเฉพาะ และสิทธิ์ใดบ้างที่มอบให้กับแพลตฟอร์ม GenAI หรือปลั๊กอินของบุคคลที่สามที่เชื่อมต่อ ตัวอย่างเช่น การอนุญาตสำหรับ Google Drive หรือ GitHub
Balmas ชี้ให้เห็นว่าทีมวิจัย Salt ได้ตรวจสอบระบบนิเวศนี้เพียงเล็กน้อยเท่านั้น และการค้นพบนี้บ่งชี้ว่ามีความเสี่ยงที่ใหญ่กว่าที่เกี่ยวข้องกับแพลตฟอร์ม GenAI อื่นๆ และปลั๊กอิน GenAI ที่มีอยู่และในอนาคตจำนวนมาก
Balmas ยังกล่าวด้วยว่า OpenAI ควรให้ความสำคัญกับความปลอดภัยมากขึ้นในเอกสารสำหรับนักพัฒนา ซึ่งจะช่วยลดความเสี่ยง
ความเสี่ยงด้านความปลอดภัยปลั๊กอิน GenAI มีแนวโน้มที่จะเพิ่มขึ้น
Sarah Jones นักวิเคราะห์การวิจัยข่าวกรองภัยคุกคามทางไซเบอร์ที่ Critical Start ยอมรับว่าผลการวิจัยของ Salt Lab แนะนำว่า ความเสี่ยงด้านความปลอดภัยที่กว้างขึ้น เกี่ยวข้องกับปลั๊กอิน GenAI
“เมื่อ GenAI บูรณาการเข้ากับเวิร์กโฟลว์มากขึ้น ช่องโหว่ในปลั๊กอินอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลหรือฟังก์ชันที่ละเอียดอ่อนภายในแพลตฟอร์มต่างๆ ได้” เธอกล่าว
สิ่งนี้เน้นย้ำถึงความจำเป็นในการมีมาตรฐานความปลอดภัยที่แข็งแกร่งและการตรวจสอบอย่างสม่ำเสมอสำหรับทั้งแพลตฟอร์ม GenAI และระบบนิเวศของปลั๊กอิน ในขณะที่แฮกเกอร์เริ่ม กำหนดเป้าหมายข้อบกพร่องในแพลตฟอร์มเหล่านี้.
Darren Guccione ซีอีโอและผู้ร่วมก่อตั้ง Keeper Security กล่าวว่าช่องโหว่เหล่านี้ทำหน้าที่เป็น “เครื่องเตือนใจ” เกี่ยวกับความเสี่ยงด้านความปลอดภัยโดยธรรมชาติที่เกี่ยวข้องกับแอปพลิเคชันของบุคคลที่สาม และควรกระตุ้นให้องค์กรต่างๆ เสริมการป้องกัน
“ในขณะที่องค์กรเร่งรีบในการใช้ประโยชน์จาก AI เพื่อเพิ่มขีดความสามารถในการแข่งขันและเพิ่มประสิทธิภาพในการดำเนินงาน ความกดดันในการใช้โซลูชันเหล่านี้อย่างรวดเร็วไม่ควรมีความสำคัญเหนือกว่าการประเมินความปลอดภัยและการฝึกอบรมพนักงาน” เขากล่าว
การแพร่กระจายของแอปพลิเคชันที่เปิดใช้งาน AI ทำให้เกิดความท้าทายเช่นกัน ความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์กำหนดให้องค์กรต้องปรับการควบคุมความปลอดภัยและนโยบายการกำกับดูแลข้อมูล
เขาชี้ให้เห็นว่าพนักงานกำลังป้อนข้อมูลที่เป็นกรรมสิทธิ์ลงในเครื่องมือ AI มากขึ้นเรื่อยๆ รวมถึงทรัพย์สินทางปัญญา ข้อมูลทางการเงิน กลยุทธ์ทางธุรกิจ และอื่นๆ และการเข้าถึงโดยไม่ได้รับอนุญาตจากผู้ไม่ประสงค์ดีอาจทำให้องค์กรพิการได้
“การโจมตีการครอบครองบัญชีซึ่งเป็นอันตรายต่อบัญชี GitHub ของพนักงานหรือบัญชีที่ละเอียดอ่อนอื่น ๆ อาจส่งผลกระทบที่สร้างความเสียหายไม่แพ้กัน” เขาเตือน
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/vulnerabilities-threats/critical-chatgpt-plugin-vulnerabilities-expose-sensitive-data
- :มี
- :เป็น
- :ไม่
- $ ขึ้น
- 7
- a
- เกี่ยวกับเรา
- การล่วงละเมิด
- เข้า
- ลงชื่อเข้าใช้
- บัญชี
- ปรับ
- น่าสงสาร
- ตกลง
- AI
- AI แชทบอท
- การอนุญาต
- ด้วย
- an
- นักวิเคราะห์
- และ
- ใด
- การใช้งาน
- การอนุมัติ
- ปพลิเคชัน
- เป็น
- AS
- ที่เกี่ยวข้อง
- At
- โจมตี
- การตรวจสอบ
- การยืนยันตัวตน
- อัตโนมัติ
- ทราบ
- BE
- จะกลายเป็น
- รับ
- กำลัง
- ดีกว่า
- ที่ใหญ่กว่า
- ทั้งสอง
- ธุรกิจ
- by
- ความสามารถในการ
- ข้อควรระวัง
- ผู้บริหารสูงสุด
- บาง
- โซ่
- ความท้าทาย
- chatbot
- ChatGPT
- ตรวจสอบแล้ว
- ผู้ร่วมก่อตั้ง
- รหัส
- บริษัท
- การแข่งขัน
- การประนีประนอม
- งานที่เชื่อมต่อ
- การเชื่อมต่อ
- การควบคุม
- ได้
- หนังสือรับรอง
- ทำให้หมดอำนาจ
- วิกฤติ
- ประเพณี
- ไซเบอร์
- เป็นอันตราย
- ข้อมูล
- การป้องกัน
- นักพัฒนา
- พัฒนาการ
- เอกสาร
- ประตู
- ขับรถ
- ในระหว่าง
- ระบบนิเวศ
- ระบบนิเวศ
- ขอบ
- อย่างมีประสิทธิภาพ
- ความสำคัญ
- เน้น
- ลูกจ้าง
- พนักงาน
- พนักงาน
- การเปิดใช้งาน
- เสริม
- การป้อน
- พอ ๆ กัน
- การประเมินผล
- หลักฐาน
- ตัวอย่าง
- ดำเนินการ
- ที่มีอยู่
- ใช้ประโยชน์
- การใช้ประโยชน์จาก
- ที่เปิดเผย
- ขยายออก
- นามสกุล
- ภายนอก
- อำนวยความสะดวก
- ทางการเงิน
- ข้อมูลทางการเงิน
- ผลการวิจัย
- ชื่อจริง
- การแก้ไข
- ข้อบกพร่อง
- สำหรับ
- พบ
- กรอบ
- ฟังก์ชันการทำงาน
- ฟังก์ชั่น
- ต่อไป
- อนาคต
- ได้รับ
- ยีน
- กำเนิด
- กำเนิด AI
- GitHub
- กำหนด
- การกำกับดูแล
- การอนุญาต
- แฮกเกอร์
- มี
- มี
- he
- ช่วย
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- HTTPS
- ร้อย
- ผลกระทบ
- ปลอมตัว
- การดำเนินการ
- in
- รวมถึง
- รวมทั้ง
- เพิ่ม
- ขึ้น
- แสดง
- โดยธรรมชาติ
- การติดตั้ง
- แบบบูรณาการ
- ทางปัญญา
- ทรัพย์สินทางปัญญา
- Intelligence
- ปฏิสัมพันธ์
- เข้าไป
- แนะนำ
- ร่วมมือ
- ปัญหา
- โจนส์
- jpg
- ห้องปฏิบัติการ
- ห้องปฏิบัติการ
- ผู้นำ
- ชั้นนำ
- เลฟเวอเรจ
- กดไลก์
- น่าจะ
- การทำ
- ที่เป็นอันตราย
- หลาย
- อาจ..
- มาตรการ
- แบบ
- ข้อมูลเพิ่มเติม
- ต้อง
- จำเป็นต้อง
- ใหม่
- ไม่
- เด่น
- of
- on
- เพียง
- เปิด
- OpenAI
- การดำเนินงาน
- or
- organizacja
- องค์กร
- อื่นๆ
- ออก
- เกิน
- เปอร์เซ็นต์
- การอนุญาต
- สิทธิ์
- เวที
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- จุด
- จุด
- นโยบาย
- ยอดนิยม
- เป็นไปได้
- ที่มีศักยภาพ
- ประธาน
- ความดัน
- เหมาะสม
- คุณสมบัติ
- เป็นเจ้าของ
- ให้
- การตีพิมพ์
- ใส่
- อย่างรวดเร็ว
- แนะนำ
- ลด
- ปกติ
- ตรงประเด็น
- การแจ้งเตือน
- รายงาน
- การวิจัย
- นักวิจัย
- ทบทวน
- ความเสี่ยง
- ความเสี่ยง
- แข็งแรง
- รีบเร่ง
- s
- เกลือ
- พูดว่า
- ความปลอดภัย
- มาตรการรักษาความปลอดภัย
- ความเสี่ยงด้านความปลอดภัย
- เห็น
- มีความละเอียดอ่อน
- ส่ง
- ให้บริการ
- บริการ
- เธอ
- น่า
- ตั้งแต่
- เล็ก
- So
- โซลูชัน
- ในไม่ช้า
- เฉพาะ
- มาตรฐาน
- สิ้นเชิง
- เริ่มต้น
- ที่เริ่มต้น
- กลยุทธ์
- แนะนำ
- จัดหาอุปกรณ์
- ห่วงโซ่อุปทาน
- ฉลาด
- เอา
- การครอบครอง
- งาน
- ทีม
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- ที่นั่น
- ล้อยางขัดเหล่านี้ติดตั้งบนแกน XNUMX (มม.) ผลิตภัณฑ์นี้ถูกผลิตในหลายรูปทรง และหลากหลายเบอร์ความแน่นหนาของปริมาณอนุภาคขัดของมัน จะทำให้ท่านได้รับประสิทธิภาพสูงในการขัดและการใช้งานที่ยาวนาน
- พวกเขา
- ของบุคคลที่สาม
- นี้
- เหล่านั้น
- พัน
- การคุกคาม
- ตลอด
- ไปยัง
- เครื่องมือ
- การฝึกอบรม
- เคล็ดลับ
- ไม่มีสิทธิ
- เปิด
- เข้าใจ
- บันทึก
- ใช้
- ผู้ใช้งาน
- ผู้ใช้
- การใช้
- ต่างๆ
- กว้างใหญ่
- รุ่น
- รอง
- Vice President
- ช่องโหว่
- คือ
- we
- เว็บไซต์
- คือ
- อะไร
- เมื่อ
- ที่
- จะ
- กับ
- ภายใน
- ขั้นตอนการทำงาน
- จะ
- ลมทะเล