Κίνδυνοι σε προσθήκες του ChatGPT

Οι ερευνητές ασφαλείας έχουν αποκαλύψει κρίσιμα ελαττώματα ασφαλείας στις προσθήκες του ChatGPT. Εκμεταλλευόμενοι αυτά τα ελαττώματα, οι επιτιθέμενοι θα μπορούσαν να μεταφέρουν τον έλεγχο του λογαριασμού ενός οργανισμού σε πλατφόρμες τρίτων και να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα των χρηστών, συμπεριλαμβανομένων των προσωπικών πληροφοριών ταυτοποίησης (PII).

«Τα τρωτά σημεία που εντοπίζονται σε αυτές τις προσθήκες του ChatGPT προκαλούν συναγερμό λόγω του αυξημένου κινδύνου κλοπής ιδιοκτησιακών πληροφοριών και της απειλής επιθέσεων εξαγοράς λογαριασμών», σχολίασε ο Darren Guccione, Διευθύνων Σύμβουλος και συνιδρυτής της Keeper Security.

«Όλο και περισσότερο, οι εργαζόμενοι εισάγουν ιδιόκτητα δεδομένα σε εργαλεία AI – συμπεριλαμβανομένης της πνευματικής ιδιοκτησίας, των οικονομικών δεδομένων, των επιχειρηματικών στρατηγικών και άλλων – και η μη εξουσιοδοτημένη πρόσβαση από έναν κακόβουλο παράγοντα θα μπορούσε να παραλύσει έναν οργανισμό».

Τον Νοέμβριο του 2023, το ChatGPT εισήγαγε μια νέα δυνατότητα που ονομάζεται GPT, η οποία λειτουργεί παρόμοια με τα πρόσθετα και σε αυτή παραμονεύουν παρόμοιοι κίνδυνοι ασφαλείας, επιδεινώνοντας περαιτέρω το τοπίο ευπάθειας.

Ακόμα, εντοπίστηκαν ελαττώματα στο PluginLab, ένα πλαίσιο για την ανάπτυξη προσθηκών ChatGPT, το οποίο θα μπορούσε να οδηγήσει σε εξαγορές λογαριασμών σε πλατφόρμες τρίτων, όπως το GitHub.

Τέλος, εντοπίστηκαν ευπάθειες χειραγώγησης ανακατεύθυνσης OAuth σε διάφορες προσθήκες, επιτρέποντας στους επιτιθέμενους να κλέψουν διαπιστευτήρια χρήστη και να εκτελέσουν εξαγορές λογαριασμών.

«Καθώς όλο και περισσότεροι οργανισμοί αξιοποιούν αυτό το είδος τεχνολογίας, οι επιτιθέμενοι στρέφουν τις προσπάθειές τους στο να βρίσκουν τρόπους να εκμεταλλευτούν αυτά τα εργαλεία και στη συνέχεια να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα».

Τεύχος 471