EmailGPT hizmetinde yeni bir hızlı enjeksiyon güvenlik açığı keşfedildi. Bu API hizmeti ve Google Chrome eklentisi, kullanıcıların OpenAI’nin GPT modelini kullanarak Gmail’de e-posta yazmalarına yardımcı olur.
Hızlı enjeksiyon güvenlik açığı, bir saldırganın manipüle edilmiş girdiler kullanarak büyük bir dil modelini (LLM) manipüle etmesi ve LLM’nin saldırganın niyetlerini kasıtlı olarak yürütmesine izin vermesi durumunda ortaya çıkar.
CVSS taban puanı 6,5 olan bu güvenlik açığı (CVE-2024-5184), orta önem düzeyini gösterir.
Analyze any MaliciousURL, Files & Emails & Configuration With ANY RUN : Start your Analysis
Synopsys Siber Güvenlik Araştırma Merkezi (CyRC), “Bu güvenlik açığından yararlanılması, fikri mülkiyet sızıntısına, hizmet reddine ve bir saldırganın AI sağlayıcısının API’sine tekrar tekrar kullanım başına ödemeli isteklerde bulunması yoluyla doğrudan mali kayba yol açacaktır” dedi. Siber Güvenlik Haberleri ile.
EmailGPT Hizmetinde İstemi Ekleme
Büyük bir dil modeli (LLM), bir saldırganın onu özel olarak oluşturulmuş girdilerle manipüle etmesi ve LLM’nin saldırganın planlarını istemeden gerçekleştirmesine yol açması durumunda anında enjeksiyona karşı savunmasızdır.
Bu, doğrudan sistem komut istemini “jailbreak yaparak” veya dolaylı olarak harici girdileri manipüle ederek gerçekleştirilebilir; bu da sosyal mühendislik, veri sızması ve diğer sorunlara yol açabilir.
Araştırmacılar, EmailGPT hizmetinde hızlı enjeksiyon güvenlik açığı tespit etti.
Kötü niyetli bir kullanıcı, hizmetin bir API kullanması nedeniyle doğrudan bir istem enjekte edebilir ve hizmet mantığının kontrolünü ele geçirebilir.
Saldırganlar, yapay zeka hizmetini istenmeyen istemleri yürütmeye veya olağan sabit kodlu sistem istemlerini sızdırmaya zorlayarak bu güvenlik açığından yararlanabilir.
EmailGPT’ye kötü niyetli bir istem gönderildiğinde sistem, zararlı bilgi isteği vererek tepki verecektir.
Hizmete erişimi olan herkes bu güvenlik açığından yararlanabilir.
Ana EmailGPT yazılım dalı etkilendi. Onaylanmamış API’lerin tekrar tekrar talep edilmesi, fikri mülkiyet hırsızlığı, hizmet reddi saldırıları ve mali zarar gibi ciddi tehditler oluşturur.
Öneri
Olası tehditleri azaltmak için CyRC, kullanıcıların EmailGPT uygulamalarını ağlarından hemen kaldırmasını önerdi.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo