Τα πρόσθετα ChatGPT θα μπορούσαν να δώσουν πρόσβαση στους λογαριασμούς σας

[deniSun]

Ένα από τα καλύτερα πράγματα σχετικά με το ChatGPT είναι η τεράστια βιβλιοθήκη πρόσθετων προγραμμάτων τρίτων που μπορούν να κάνουν το AI chatbot να κάνει πολύ περισσότερα από όσα σχεδίασε αρχικά το OpenAI. Από τα πρόσθετα που διευκολύνουν την εκτέλεση υπολογισμών μέχρι εκείνα που σας επιτρέπουν να αντλείτε πληροφορίες από τους εξωτερικούς σας λογαριασμούς, μια εταιρεία κυβερνοασφάλειας εξέδωσε μια αυστηρή προειδοποίηση σχετικά με την εμπιστοσύνη στα πρόσθετα, καθώς και τα κενά ασφαλείας που θα μπορούσαν να δώσουν στους κακούς παράγοντες πρόσβαση στους άλλους λογαριασμούς σας.

Η νέα έρευνα, επικεφαλής της οποίας ήταν η Salt Labs, προειδοποιεί ότι τα ελαττώματα ασφαλείας που εντοπίστηκαν απευθείας στο ChatGPT, καθώς και στο οικοσύστημα του AI, θα μπορούσαν να δώσουν στους επιτιθέμενους την ευκαιρία να εγκαταστήσουν κακόβουλα plugins χωρίς τη συγκατάθεσή σας. Αυτό θα επέτρεπε ουσιαστικά στους κακοποιούς να καταλάβουν το λογαριασμό σας και να αποκτήσουν πρόσβαση σε ιστότοπους τρίτων, όπως το Github.

Τα καλά νέα εδώ, βέβαια, είναι ότι το OpenAI ήδη τερματίζει τη χρήση των plugins του ChatGPT, γράφοντας σε μια ανάρτηση ότι θα τερματίσει την εγκατάσταση νέων plugins στις 19 Μαρτίου 2024. Όλα τα plugins που χρησιμοποιούνται επί του παρόντος δεν θα είναι πλέον διαθέσιμα μετά τις 9 Απριλίου 2024. Αν και μπορεί να φαίνεται αντιφατικό, δεδομένου του πόσο χρήσιμα μπορούν να είναι τα plugins, το OpenAI έχει χρησιμοποιήσει τις πληροφορίες που συλλέγονται από τα plugins για να δημιουργήσει GPTs, τα οποία σας επιτρέπουν να προσαρμόσετε την AI σε συγκεκριμένες περιπτώσεις χρήσης.

Η Salt Labs λέει ότι ένα από τα μεγαλύτερα ελαττώματα που ανακάλυψε ήταν ένα exploit που επέτρεπε στους κακοποιούς να εκμεταλλευτούν τη ροή εργασιών OAuth και να εξαπατήσουν τους χρήστες ώστε να εγκαταστήσουν ένα αυθαίρετο πρόσθετο. Όλα αυτά ήταν εφικτά επειδή το ChatGPT δεν επικυρώνει ότι ο χρήστης έχει ξεκινήσει την εγκατάσταση του πρόσθετου. Είναι μια καταπληκτική ευκαιρία για τους κακούς φορείς να εισβάλουν και να υποκλέψουν τυχόν δεδομένα που μοιράζεται το θύμα.

Πέρα από αυτό το exploit, όμως, η Salt Labs ανακάλυψε επίσης ζητήματα με το PluginLab, δηλώνοντας ότι οι κακοί φορείς θα μπορούσαν να αξιοποιήσουν αυτά τα ζητήματα για να δημιουργήσουν επιθέσεις εξαγοράς λογαριασμού με μηδενικό κλικ χρησιμοποιώντας τα plugins ChatGPT ως σημείο εκκίνησης. Αυτό θα επέτρεπε σε αυτούς τους απειλητικούς παράγοντες να αποκτήσουν πρόσβαση σε συνδεδεμένους ιστότοπους τρίτων, όπως το GitHub.

Τα γλωσσικά μοντέλα τεχνητής νοημοσύνης όπως αυτά που τροφοδοτούν το ChatGPT μπορούν να είναι εξαιρετικά χρήσιμα, αν τα χρησιμοποιήσετε σωστά. Ωστόσο, τα exploits που βρέθηκαν στις επιλογές πρόσθετων του ChatGPT δείχνουν πόσο σημαντικό παραμένει να είστε σε εγρήγορση για την προστασία σας στο διαδίκτυο και να γνωρίζετε πάντα τι εγκαθιστάτε όταν εργάζεστε με αυτά τα συστήματα.

πηγή via DeepL

[tsigarid]

Αυτό ισχύει για όλα τα πρόσθετα που κάνουν παρόμοια πράγματα, όχι μόνο για το ChatGPT.

[deniSun]

Hackers can easily read what you say to ChatGPT, other AI services, finds study