ChatGPT’de, saldırganların kötü niyetli SVG (ölçeklenebilir vektör grafikleri) ve görüntü dosyalarını doğrudan paylaşılan konuşmalara yerleştirmesine izin veren kritik bir güvenlik açığı keşfedilmiştir ve potansiyel olarak kullanıcıları sofistike kimlik avı saldırılarına ve zararlı içeriğe maruz bırakmıştır.
Yakın zamanda CVE-2025-43714 olarak belgelenen kusur, 30 Mart 2025’e kadar ChatGPT sistemini etkiliyor.
Güvenlik araştırmacıları, SVG kodunu kod blokları içinde metin olarak oluşturmak yerine, bir sohbet kamuya açık bağlantılar aracılığıyla yeniden açıldığında veya paylaşıldığında bu öğeleri uygunsuz bir şekilde yürüttüğünü belirledi.
.png
)
Bu davranış, popüler AI platformunda depolanmış bir siteler arası komut dosyası (XSS) güvenlik açığı oluşturur.
“2025-03-30 boyunca ChatGPT sistemi, örneğin, çoğu modern grafik web tarayıcısında HTML enjeksiyonunu sağlayan bir kod bloğu içinde metin olarak sunmak yerine SVG belgelerinin satır içi oluşturulmasını gerçekleştirir” dedi.
Güvenlik sonuçları önemlidir. Saldırganlar, şüphesiz kullanıcılar için meşru görünen SVG koduna gömülü aldatıcı mesajlar oluşturabilir.
Kötü niyetli aktörler, ışığa duyarlı bireylere zarar verebilecek epileptik indükleyen yanıp sönen etkilerle SVG’ler oluşturabileceğinden, kullanıcı refahı üzerindeki potansiyel etkiler daha da önemlisidir.
Güvenlik açığı çalışır, çünkü JPG veya PNG gibi normal görüntü formatlarının aksine, formatın meşru bir özelliği olan, ancak uygunsuz bir şekilde işlendiğinde tehlikeli olan HTML komut dosyası etiketlerini içerebilen XML tabanlı vektör görüntüleridir.
Bu SVG’ler kod yerine satır içi oluşturulduğunda, gömülü işaretleme kullanıcının tarayıcısında yürütülür.
“SVG dosyaları, görüntü bir tarayıcıda oluşturulduğunda yürütülen gömülü JavaScript kodu içerebilir. Bu, farklı bir platformdan benzer bir güvenlik açığı raporu açıklar.
Openai’nin güvenlik açığı rapor edildikten sonra bağlantı paylaşımı özelliğini devre dışı bırakarak ilk azaltma adımlarını attığı bildiriliyor, ancak temeldeki sorunu ele alan kapsamlı bir düzeltme hala beklemede.
Güvenlik uzmanları, bilinmeyen kaynaklardan paylaşılan ChatGPT konuşmalarını görüntülerken kullanıcıların dikkatli olmasını önerir.
Güvenlik açığı özellikle ilgilidir, çünkü çoğu kullanıcı CHATGPT’nin içeriğine dolaylı olarak güvenir ve platform aracılığıyla görsel manipülasyon veya kimlik avı denemeleri beklemez.
Güvenlik araştırmacısı, “JavaScript yürütme yetenekleri olmasa bile, görsel ve psikolojik manipülasyon, özellikle birinin refahını etkileyebileceği veya teknik olmayan kullanıcıları aldatabildiğinde hala kötüye kullanım oluşturuyor” dedi.
Bu keşif, günlük iş akışlarına ve iletişim kanallarına daha fazla entegre hale geldikçe, geleneksel web güvenlik açıklarına karşı AI sohbet arayüzlerini güvence altına almanın artan önemini vurgulamaktadır.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri