Недостатки плагина ChatGPT могли позволить хакерам захватить учетные записи в других сервисах

В ходе нового исследования обнаружены недостатки безопасности в ChatGPT. Они могли позволить хакерам захватить другие учетные записи пользователей, например, в GitHub.

Недостатки плагина ChatGPT могли позволить хакерам захватить учетные записи. Фото: OpenAI

Специалисты из компании Salt Security обнаружили, что различные плагины ChatGPT имеют критические недостатки безопасности. Они позволяют инструменту искусственного интеллекта получать доступ к другим веб-сайтам и выполнять определенные задачи, такие как фиксация кода в GitHub и получение данных с Google Диска.

Благодаря этим недостаткам злоумышленники могли получить контроль над сторонними учетными записями и получить доступ к содержащимся в них конфиденциальным данным. В настоящее время недостатки устранены.

В Salt Security также отмечают, что GPT, похожие на плагины, также представляют аналогичный риск. Это пользовательские версии ChatGPT, которые может опубликовать любой разработчик.

В плагинах ChatGPT были обнаружены три отдельные ошибки. Первая была обнаружена, когда пользователи устанавливали новые плагины. ChatGPT отправляет пользователю код, подтверждающий установку. Однако вместо этого злоумышленники могли отправить пользователям код, одобряющий вредоносный плагин.

Вторая была найден на PluginLab, сайте, используемом для разработки плагинов ChatGPT. Сайту не удалось должным образом аутентифицировать учетные записи пользователей, что снова могло позволить хакерам захватить их. Одним из плагинов, затронутых этим недостатком, был AskTheCode, который интегрируется между ChatGPT и GitHub.

Третья ошибка была обнаружен в нескольких плагинах и включала манипуляции с перенаправлением OAuth. Это также могло позволить захватить аккаунт. Поскольку URL-адреса не проверялись плагинами, злоумышленники могли отправлять пользователям вредоносные ссылки, используемые для кражи их учетных данных.

В Salt Security заявляют, что команда следовала процедуре и как только обнаружила недостатки, и уведомила OpenAI и другие затронутые стороны. Утверждается, что проблемы были устранены быстро, но это не свидетельствует о наличии эксплойта.

Startpack подготовил список систем искусственного интеллекта. Искусственный интеллект (ИИ) широко используется в бизнесе — начиная от повышения качества обслуживания клиентов до автоматизации бизнес-процессов. Один из видов искусственного интеллекта — нейронные сети. Нейросети с помощью алгоритмов способны распознавать закономерности в данных и генерировать новые. Это лишь часть сфер, где может применяться искусственный интеллект. Внедрение искусственного интеллекта в работу компании сократит расходы и время.

Статьи по теме