ChatGPT eklentilerinde bulunan kritik güvenlik kusurları, kullanıcıları veri ihlallerine maruz bırakıyor. Saldırganlar oturum açma ayrıntılarını çalabilir ve üçüncü taraf web sitelerindeki hassas verilere erişebilir. Yapay zeka kaynaklı siber tehditlere karşı korunmak için eklentilerinizi hemen güncelleyin ve yalnızca güvenilir kaynaklardan gelen uzantıları kullanın.
Uygulama programlama arayüzü (API) güvenliğinde lider olan Salt Security, OpenAI'nin yapay zeka sohbet robotunun popüler eklentilerinde kritik güvenlik açıklarını keşfetti SohbetGPT. Bu kusurlar, saldırganların hassas kullanıcı verilerini çalmasına ve üçüncü taraf web sitelerindeki hesaplara yetkisiz erişim elde etmesine veya bu sitelerden veri almasına olanak tanıyabilir. Google sürücü.
Bu, artık GPT olarak bilinen ChatGPT eklentisi işlevselliğinin bir saldırı vektörü olabileceği, güvenlik açıklarının GitHub depoları da dahil olmak üzere üçüncü taraf kullanıcı hesaplarına erişmesine ve kötü aktörlerin bir kuruluşun üçüncü taraf web sitelerindeki hesabının kontrolünü ele geçirmesine ve hassas verilere erişmesine izin verebileceği anlamına geliyor .
Bilginiz olsun diye, ChatGPT eklentileri (yalnızca GPT-4 modeline sahip kullanıcılar için erişilebilirdir; ChatGPT Plus aboneliği kullanım için), harici hizmetlerle etkileşime girmesini ve çeşitli alanlarda uygulanabilir olmasını sağlayarak sohbet robotunun yeteneklerini geliştirmek için tasarlanmıştır. Ancak kuruluşlar, ChatGPT eklentilerini kullanırken yanlışlıkla üçüncü taraf web sitelerine hassas veriler göndermelerine ve özel harici hesaplara erişmelerine izin verebilir.
Üç Güvenlik Açığı
Salt Labs'a göre araştırma Çarşamba günü yayınlanmadan önce Hackread.com ile paylaşılan raporda şirket, ChatGPT eklentilerinde üç güvenlik açığı keşfetti.
İlk Güvenlik Açığı
Bunlardan ilki, kullanıcıların onaylanacak bir kod almak üzere eklenti web sitesine yönlendirildiği ChatGPT'nin kendisindeydi. Saldırganlar bu işlevi kullanarak kullanıcılara kötü amaçlı bir eklenti içeren bir kod onayı sunarak kimlik bilgilerini kurbanın hesabına yüklemelerine olanak tanıyabilir. ChatGPT'de yazılan herhangi bir mesaj bir eklentiye iletilebilir ve saldırgan daha sonra özel bilgilere erişebilir.
İkinci Güvenlik Açığı
İkinci güvenlik açığı, ChatGPT eklentilerini geliştirmek için kullanılan bir çerçeve olan PluginLab'da belirlendi. Salt Labs, PluginLab'ın kurulum işlemi sırasında uygun güvenlik önlemlerini uygulamadığını, dolayısıyla saldırganların kullanıcıların bilgisi olmadan kötü amaçlı eklentiler yüklemesine olanak sağladığını tespit etti.
PluginLab kullanıcı hesaplarının kimliğini doğrulamadığından, saldırganlar başka bir kullanıcı kimliği ekleyip kurbanın kodunu ele geçirebilir ve bu da hesabın ele geçirilmesine yol açabilir. Etkilenen eklentilerden biri olan “AskTheCode”, ChatGPT ile GitHub arasında entegre olarak saldırganların kurbanın hesabına erişmesine olanak tanıyor.
Üçüncü Güvenlik Açığı
Diğer bir güvenlik açığı ise saldırganların kurbanlara kötü amaçlı URL'ler göndermesine ve kullanıcı kimlik bilgilerini çalmasına olanak tanıyan OAuth yeniden yönlendirme manipülasyonuydu. Birçok ChatGPT eklentisi, çeşitli web sitelerine erişim için geniş izinler ister. Bu, güvenliği ihlal edilmiş eklentilerin bu üçüncü taraf web sitelerinden oturum açma kimlik bilgilerini veya diğer hassas verileri potansiyel olarak çalabileceği anlamına gelir.
Sorumlu açıklama uygulamalarını takip eden Salt Labs'ın araştırmacıları, sorunları ortaya çıkmadan önce derhal ele almak için OpenAI ve üçüncü taraf sağlayıcılarla işbirliği yaptı.
Bu araştırma, yapay zekanın artan yaygınlığını ve potansiyel güvenlik risklerini vurguluyor. Ocak 2024'te, Kaspersky 3.000'den fazla dark web gönderisi keşfetti Tehdit aktörleri, siber suçları gerçekleştirmek için benzer araçlar geliştirmek amacıyla ChatGPT gibi yapay zeka destekli sohbet robotlarından yararlanmayı tartıştı.
Son zamanlarda Group-IB'nin “Yüksek Teknoloji Suç Eğilimleri 23/24” raporunu yayınladı Siber suçluların, özellikle hassas kurumsal verilere erişmek için kullanılabilecek çalıntı ChatGPT kimlik bilgileri için yapay zeka kullanımında bir artış olduğunu gösteriyor. Ocak-Ekim 2023 arasında, güvenliği ihlal edilmiş ChatGPT kimlik bilgilerini içeren 225.000'den fazla bilgi hırsızlığı günlüğü tespit edildi.
Bu nedenle kullanıcılara izinleri dikkatlice incelemeleri, yalnızca güvenilir kaynaklardan eklentiler yüklemeleri ve ChatGPT ile eklentileri düzenli olarak güncellemeleri önerilir. Geliştiriciler, kullanıcı verilerini korumak için kod yürütme güvenlik açıklarını ele almalıdır. PluginLab geliştiricileri, eklenti geliştirme yaşam döngüsü boyunca sağlam güvenlik önlemleri uygulamalıdır.
İLGİLİ KONULAR
- OpenAI'nin ChatGPT'si Polimorfik Kötü Amaçlı Yazılım Oluşturabilir
- Kötü Amaçlı Abrax666 AI Chatbot'un Potansiyel Dolandırıcılık Olduğu Ortaya Çıktı
- Kötü Amaçlı Reklamlar, Kötü Amaçlı Reklamcılık Saldırısında Bing AI Chatbot'a Sızıyor
- WormGPT'nin ardından Yapay Zeka Odaklı Siber Suç için FraudGPT Ortaya Çıkıyor
- Araştırmacı ChatGPT ile polimorfik Blackmamba kötü amaçlı yazılımı oluşturuyor