Synopsys, popüler bir AI e-posta asistanı olan EmailGPT’deki bir güvenlik açığını içeren yeni bir hızlı enjeksiyon saldırısına karşı uyarıyor. EmailGPT’deki bir güvenlik kusurunun bilgisayar korsanlarının verilerinizi çalmasına veya mali kayıplara neden olmasına nasıl izin verebileceğini öğrenin. Kendinizi korumak için neler yapabileceğinizi ve yapay zeka destekli araçlarda güvenliğin neden hayati önem taşıdığını keşfedin.
Synopsys’in Siber Güvenlik Araştırma Merkezi (CyRC) tarafından keşfedilen bir güvenlik açığı, yapay zeka destekli popüler bir e-posta yazma asistanı ve Google Chrome uzantısı olan EmailGPT kullanıcıları için potansiyel bir tehlikeyi ortaya çıkardı.
CVE-2024-5184 olarak takip edilen ve hızlı enjeksiyon olarak adlandırılan bu güvenlik açığı, kötü niyetli tehdit aktörlerinin hizmeti manipüle etmesine ve potansiyel olarak hassas bilgileri tehlikeye atmasına olanak tanıyabilir.
EmailGPT nedir?
EmailGPT, kullanıcıların Gmail’de e-posta oluşturmasına yardımcı olmak için OpenAI’nin GPT modellerinden yararlanır. Kullanıcılar, istemler ve bağlam sağlayarak e-postaları daha verimli bir şekilde oluşturmak için yapay zeka tarafından oluşturulan öneriler alabilir. Ancak son keşif, bu işlevsellikteki potansiyel bir güvenlik kusurunun altını çiziyor.
Hızlı Enjeksiyon Tehdidi
EmailGPT, kötü niyetli bir kullanıcının doğrudan istem enjekte etmesine ve hizmet mantığını devralmasına olanak tanıyan bir API hizmeti kullanır. Saldırganlar, AI hizmetini standart sistem istemlerini sızdırmaya veya istenmeyen istemleri yürütmeye zorlayarak bundan yararlanabilir.
Kötü niyetli bir bilgi istemi gönderilirken sistem istenen verileri sağlar ve bu verileri hizmete erişimi olan herkesin istismarına karşı savunmasız hale getirir. Güvenlik açığının CVSS puanı 6,5 olup orta şiddettedir.
Olası Tehlikeler
Kötü niyetli bir kullanıcı, istenmeyen işlevler enjekte eden bir bilgi istemi oluşturabilir, bu da potansiyel olarak veri çıkarılmasına, güvenliği ihlal edilmiş hesaplar kullanılarak spam kampanyalarına ve yanıltıcı e-posta içeriği üretilerek dezenformasyon kampanyalarına katkıda bulunulmasına yol açabilir. Bu güvenlik açığı, fikri mülkiyet sızıntısına neden olmasının yanı sıra, hizmet reddine ve kötüye kullanıldığında mali kayba yol açabilir.
Synopsys’in blog gönderisine göre araştırmacılar, sorumlu açıklama politikalarına bağlı kalarak ayrıntıları yayınlamadan önce EmailGPT geliştiricileriyle iletişime geçti ancak henüz bir yanıt alamadı. Araştırmacılar, şu anda herhangi bir geçici çözüm bulunmadığından EmailGPT’nin tüm kurulumlardan derhal kaldırılmasını öneriyor.
Hizmetin güvenli kullanımının sürekliliğini sağlamak için kullanıcılar güncellemeler ve yamalar hakkında bilgilendirilmelidir. Yapay zeka teknolojisi gelişmeye devam ettikçe, dikkatli olmak ve sağlam güvenlik uygulamaları potansiyel riskleri azaltmak için hayati önem taşıyacaktır.
“CyRC geliştiricilere ulaştı ancak sorumlu açıklama politikamızın belirlediği 90 günlük zaman çizelgesi içerisinde bir yanıt alamadı. CyRC, uygulamaların ağlardan derhal kaldırılmasını öneriyor.”
özet
Uzman Yorumları
Pleasanton, California merkezli SlashNext E-posta Güvenliği CEO’su Patrick Harr, konu hakkında yorum yaptı ve işletmelerin, AI model tedarikçilerinden güvenlik kanıtı talep etmesi gerektiğini belirterek, zayıf noktaları ve istismarları önlemek için AI modelleri için güçlü yönetişim ve güvenlik önlemlerinin önemini vurguladı. bunları kendi operasyonlarına entegre etmek.
“Synopsys Siber Güvenlik Araştırma Merkezi tarafından yapılan bu son araştırma, yapay zeka modellerinin oluşturulması, güvenliğinin sağlanması ve yeniden gruplandırılması konusunda güçlü yönetişimin önemini daha da vurguluyor. Özünde yapay zeka, diğer kodlar gibi istismar edilebilecek bir koddur ve bu istenmeyen istemli istismarları önlemek amacıyla bu kodun güvenliğini sağlamak için aynı süreçlerin uygulamaya konması gerekir.“ Patrick dedi.
“Yapay zeka modellerinin güvenliği ve yönetişimi, yapay zeka modellerini uygulamalar veya API’ler aracılığıyla oluşturan ve kanıtlayan şirketlerin kültürünün ve hijyeninin bir parçası olarak çok önemlidir. Müşterilerin, özellikle de işletmelerin, bu modellerin tedarikçilerinin, bunları işlerine dahil etmeden önce, veri erişimi de dahil olmak üzere kendilerini nasıl güvence altına aldıklarına dair kanıt talep etmeleri gerekmektedir.“ ekledi.
İLGİLİ KONULAR
- Yeni LLMjacking Saldırısı, Bilgisayar Korsanlarının Yapay Zeka Modellerini Ele Geçirmesine Olanak Sağlıyor
- Kusurlar Ortaya Çıktı Yapay Zeka Tedarik Zinciri Saldırılarına Karşı Yüzleşme
- Yapay Zeka Tarafından Oluşturulan Sahte Ölüm İlanı Web Siteleri Yaslı Kullanıcıları Hedefliyor
- Yapay Zeka Destekli Dolandırıcılıklar ve İnsan Kaçakçılığı Küresel Suç Artışını Artırıyor
- ShadowRay Kampanyası Küresel Saldırıda Ray AI Çerçevesini Hedefliyor