В написании кода Python c помощью ChatGPT есть серьезная проблема безопасности

Программистов, использующих ChatGPT для написания или анализа кода Python, призывают быть очень осторожными с URL-адресами, которые они вставляют в инструмент генеративного искусственного интеллекта. Хакеры могут украсть конфиденциальные данные из проектов.

В написании кода Python c помощью ChatGPT есть серьезная проблема безопасности. Фото: СС0

Теория была впервые представлена исследователем безопасности Иоганном Ребергером, а затем проверена и подтверждена Аврамом Пилчем из Tom's Hardware.

ChatGPT может анализировать, а затем писать код Python, если ему даны правильные инструкции. Эти инструкции можно загрузить на платформу в файле .TXT или даже в формате .CSV, если вам нужен анализ данных. Платформа будет хранить там файлы (включая любую конфиденциальную информацию, такую как ключи API и пароли — обычная практика), на вновь созданной виртуальной машине.

Теперь ChatGPT может делать то же самое с веб-страницами. Если на веб-странице есть определенные инструкции, когда пользователь вставляет URL-адрес в окно чата, платформа запускает их. Если инструкции веб-сайта заключаются в том, чтобы захватить все содержимое файлов, хранящихся на виртуальной машине, и извлечь их на сторонний сервер, он именно это и сделает.

Пилтч протестировал эту идею, сначала загрузив TXT-файл с поддельным ключом API и паролем, а затем создав легитимный веб-сайт (сайт с прогнозами погоды), который в фоновом режиме поручил ChatGPT взять все данные и превратить их в длинную очередь текста в URL-кодировке и отправить его на сервер под его управлением.

Хитрость в том, что злоумышленник не может поручить ChatGPT захватить чьи-либо данные — платформа сделает это только для человека, который вставил URL-адрес в окно чата. Это означает, что жертву необходимо убедить вставить вредоносный URL-адрес в окно чата ChatGPT. Альтернативно, кто-то может захватить законный веб-сайт и добавить вредоносные инструкции.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме