Ba lỗ hổng bảo mật được phát hiện trong các chức năng mở rộng mà ChatGPT sử dụng đã mở ra cánh cửa truy cập trái phép, không cần nhấp chuột vào tài khoản và dịch vụ của người dùng, bao gồm cả các kho lưu trữ nhạy cảm trên các nền tảng như GitHub.
Các plugin ChatGPT và các phiên bản tùy chỉnh của ChatGPT do các nhà phát triển xuất bản sẽ mở rộng khả năng của mô hình AI, cho phép tương tác với các dịch vụ bên ngoài bằng cách cấp cho chatbot AI phổ biến của OpenAI quyền truy cập và quyền để thực thi các tác vụ trên nhiều trang web của bên thứ ba, bao gồm GitHub và Google Drive .
Các nhà nghiên cứu của Salt Labs đã phát hiện ra ba lỗ hổng nghiêm trọng ảnh hưởng đến ChatGPT, lần đầu tiên xảy ra trong quá trình cài đặt các plugin mới, khi ChatGPT chuyển hướng người dùng đến các trang web plugin để phê duyệt mã. Bằng cách khai thác điều này, kẻ tấn công có thể lừa người dùng phê duyệt mã độc, dẫn đến việc tự động cài đặt các plugin trái phép và có khả năng xâm phạm tài khoản tiếp theo.
Thứ hai, PluginLab, một khuôn khổ để phát triển plug-in, thiếu xác thực người dùng thích hợp, cho phép kẻ tấn công mạo danh người dùng và thực hiện chiếm đoạt tài khoản, như đã thấy với plug-in “AskTheCode” kết nối ChatGPT với GitHub.
Cuối cùng, các nhà nghiên cứu của Salt phát hiện ra rằng một số plug-in nhất định dễ bị tấn công. Thao tác chuyển hướng OAuth, cho phép kẻ tấn công chèn các URL độc hại và đánh cắp thông tin xác thực của người dùng, tạo điều kiện cho việc tiếp tục chiếm đoạt tài khoản.
Báo cáo lưu ý rằng các vấn đề đã được khắc phục và không có bằng chứng nào cho thấy các lỗ hổng đã bị khai thác, vì vậy người dùng nên cập nhật ứng dụng của mình càng sớm càng tốt.
Các vấn đề bảo mật của GenAI khiến hệ sinh thái rộng lớn gặp rủi ro
Yaniv Balmas, phó chủ tịch nghiên cứu tại Salt Security, cho biết các vấn đề mà nhóm nghiên cứu phát hiện có thể khiến hàng trăm nghìn người dùng và tổ chức gặp rủi ro.
Ông nói: “Các nhà lãnh đạo bảo mật tại bất kỳ tổ chức nào cũng phải hiểu rõ hơn về rủi ro, vì vậy họ nên xem xét những plug-in và GPT nào mà công ty của họ đang sử dụng cũng như những tài khoản bên thứ ba nào bị lộ thông qua các plug-in và GPT đó”. “Để bắt đầu, chúng tôi khuyên bạn nên thực hiện đánh giá bảo mật mã của họ.”
Đối với các nhà phát triển plug-in và GPT, Balmas khuyến nghị các nhà phát triển nên nhận thức rõ hơn về nội bộ của hệ sinh thái GenAI, các biện pháp bảo mật liên quan, cách sử dụng và cách lạm dụng chúng. Điều đó đặc biệt bao gồm dữ liệu nào đang được gửi đến GenAI và những quyền nào được cấp cho nền tảng GenAI hoặc các plugin được kết nối của bên thứ ba - ví dụ: quyền đối với Google Drive hoặc GitHub.
Balmas chỉ ra rằng nhóm nghiên cứu Salt chỉ kiểm tra một tỷ lệ nhỏ trong hệ sinh thái này và cho biết các phát hiện cho thấy có rủi ro lớn hơn liên quan đến các nền tảng GenAI khác cũng như nhiều plugin GenAI hiện tại và tương lai.
Balmas cũng nói rằng OpenAI nên chú trọng hơn vào tính bảo mật trong tài liệu dành cho nhà phát triển của họ, điều này sẽ giúp giảm thiểu rủi ro.
Rủi ro bảo mật plug-in GenAI có thể tăng lên
Sarah Jones, nhà phân tích nghiên cứu tình báo mối đe dọa mạng tại Critical Start, đồng ý rằng những phát hiện của Salt Lab cho thấy một rủi ro bảo mật rộng hơn được liên kết với các plug-in GenAI.
Bà nói: “Khi GenAI trở nên tích hợp nhiều hơn với quy trình làm việc, các lỗ hổng trong plug-in có thể cung cấp cho kẻ tấn công quyền truy cập vào dữ liệu hoặc chức năng nhạy cảm trong nhiều nền tảng khác nhau”.
Điều này nhấn mạnh sự cần thiết của các tiêu chuẩn bảo mật mạnh mẽ và kiểm tra thường xuyên cho cả nền tảng GenAI và hệ sinh thái plug-in của chúng, khi tin tặc bắt đầu tấn công. nhắm mục tiêu các lỗ hổng trong các nền tảng này.
Darren Guccione, Giám đốc điều hành và đồng sáng lập của Keeper Security, cho biết những lỗ hổng này đóng vai trò như một “lời nhắc nhở rõ ràng” về những rủi ro bảo mật cố hữu liên quan đến các ứng dụng của bên thứ ba và sẽ thúc đẩy các tổ chức tăng cường phòng thủ.
Ông nói: “Khi các tổ chức gấp rút tận dụng AI để đạt được lợi thế cạnh tranh và nâng cao hiệu quả hoạt động, áp lực phải nhanh chóng triển khai các giải pháp này không nên được ưu tiên hơn so với việc đánh giá bảo mật và đào tạo nhân viên”.
Sự phổ biến của các ứng dụng hỗ trợ AI cũng đặt ra những thách thức trong bảo mật chuỗi cung ứng phần mềm, yêu cầu các tổ chức điều chỉnh các biện pháp kiểm soát bảo mật và chính sách quản trị dữ liệu của họ.
Ông chỉ ra rằng nhân viên ngày càng nhập dữ liệu độc quyền vào các công cụ AI - bao gồm sở hữu trí tuệ, dữ liệu tài chính, chiến lược kinh doanh, v.v. - và việc truy cập trái phép của một tác nhân độc hại có thể làm tê liệt tổ chức.
Ông cảnh báo: “Một cuộc tấn công chiếm đoạt tài khoản gây nguy hiểm cho tài khoản GitHub của nhân viên hoặc các tài khoản nhạy cảm khác, có thể gây ra những tác động tai hại không kém”.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/vulnerabilities-threats/critical-chatgpt-plugin-vulnerabilities-expose-sensitive-data
- : có
- :là
- :không phải
- $ LÊN
- 7
- a
- Giới thiệu
- lạm dụng
- truy cập
- Tài khoản
- Trợ Lý Giám Đốc
- thích ứng
- ảnh hưởng đến
- đồng ý
- AI
- Chatbot AI
- Cho phép
- Ngoài ra
- an
- phân tích
- và
- bất kì
- các ứng dụng
- phê duyệt
- ứng dụng
- LÀ
- AS
- liên kết
- At
- tấn công
- kiểm toán
- Xác thực
- Tự động
- nhận thức
- BE
- trở thành
- được
- được
- Hơn
- lớn hơn
- cả hai
- kinh doanh
- by
- khả năng
- thận trọng
- giám đốc điều hành
- nhất định
- chuỗi
- thách thức
- chatbot
- ChatGPT
- đã kiểm tra
- Đồng sáng lập
- mã
- công ty
- cạnh tranh
- thỏa hiệp
- kết nối
- Kết nối
- điều khiển
- có thể
- Credentials
- làm què quặt
- quan trọng
- khách hàng
- không gian mạng
- làm hư hại
- dữ liệu
- phòng thủ
- phát triển
- Phát triển
- tài liệu hướng dẫn
- Cửa
- lái xe
- suốt trong
- hệ sinh thái
- Hệ sinh thái
- Cạnh
- hiệu quả
- nhấn mạnh
- nhấn mạnh
- Công nhân
- nhân viên
- sử dụng
- cho phép
- nâng cao
- vào
- như nhau
- đánh giá
- bằng chứng
- ví dụ
- thi hành
- hiện tại
- khai thác
- khai thác
- tiếp xúc
- thêm
- mở rộng
- ngoài
- tạo điều kiện
- tài chính
- dữ liệu tài chính
- phát hiện
- Tên
- cố định
- sai sót
- Trong
- tìm thấy
- Khung
- chức năng
- chức năng
- xa hơn
- tương lai
- Thu được
- genai
- thế hệ
- Trí tuệ nhân tạo
- GitHub
- được
- quản trị
- cấp
- tin tặc
- có
- Có
- he
- giúp đỡ
- Độ đáng tin của
- Hướng dẫn
- HTTPS
- Hàng trăm
- Tác động
- mạo danh
- thực hiện
- in
- bao gồm
- Bao gồm
- Tăng lên
- lên
- chỉ
- vốn có
- cài đặt
- tích hợp
- trí tuệ
- sở hữu trí tuệ
- Sự thông minh
- tương tác
- trong
- giới thiệu
- tham gia
- các vấn đề
- jones
- jpg
- phòng thí nghiệm
- Phòng thí nghiệm
- các nhà lãnh đạo
- hàng đầu
- Tỉ lệ đòn bẩy
- Lượt thích
- Có khả năng
- Làm
- độc hại
- nhiều
- Có thể..
- các biện pháp
- kiểu mẫu
- chi tiết
- phải
- Cần
- Mới
- Không
- lưu ý
- of
- on
- có thể
- mở
- OpenAI
- hoạt động
- or
- cơ quan
- tổ chức
- Nền tảng khác
- ra
- kết thúc
- tỷ lệ phần trăm
- cho phép
- quyền
- nền tảng
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Điểm
- điểm
- Chính sách
- Phổ biến
- có thể
- tiềm năng
- Chủ tịch
- áp lực
- đúng
- tài sản
- độc quyền
- cho
- công bố
- đặt
- Mau
- đề nghị
- giảm
- đều đặn
- có liên quan
- nhắc nhở
- báo cáo
- nghiên cứu
- nhà nghiên cứu
- xem xét
- Nguy cơ
- rủi ro
- mạnh mẽ
- vội vàng
- s
- muối
- nói
- an ninh
- Các biện pháp an ninh
- Rủi ro bảo mật
- đã xem
- nhạy cảm
- gởi
- phục vụ
- DỊCH VỤ
- chị ấy
- nên
- kể từ khi
- nhỏ
- So
- Giải pháp
- sớm
- đặc biệt
- tiêu chuẩn
- ngay đơ
- Bắt đầu
- Bắt đầu
- chiến lược
- đề nghị
- cung cấp
- chuỗi cung ứng
- apt
- Hãy
- tiếp quản
- nhiệm vụ
- nhóm
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- Đó
- Kia là
- họ
- của bên thứ ba
- điều này
- những
- hàng ngàn
- mối đe dọa
- Thông qua
- đến
- công cụ
- Hội thảo
- lừa
- không được phép
- để hở
- hiểu
- Cập nhật
- sử dụng
- người sử dang
- Người sử dụng
- sử dụng
- khác nhau
- Lớn
- phiên bản
- phó
- Phó Chủ Tịch
- Lỗ hổng
- là
- we
- trang web
- là
- Điều gì
- khi nào
- cái nào
- sẽ
- với
- ở trong
- Luồng công việc
- sẽ
- zephyrnet