Sikkerhetseksperter på Salt Security har identifisert flere sårbarheter i ChatGPT-plugins, som potensielt kan kompromittere brukerdata og føre til kontoovertakelse. Sårbarhetene, som spenner over OAuth-autentiseringsfeil og kontoovertakelser med null klikk, har bedt om umiddelbare svar fra de berørte utviklerne. Oppdagelsen understreker de pågående utfordringene med å beskytte interaktive AI-plattformer mot utnyttelse.
Detaljer om sårbarhetene
Den første sårbarheten, forankret i OAuth-autentiseringsprosessen, lar angripere installere ondsinnede plugins på ofrenes ChatGPT-kontoer. Ved å lage en plugin som leder ChatGPT til å videresende chatdata, kan angripere få tilgang til sensitiv informasjon som deles under økter. Denne feilen fremhever risikoen forbundet med å gi tredjeparts plugins tilgang til personlige og sensitive data.
En annen betydelig sårbarhet som er oppdaget involverer en kontoovertakelsesmekanisme med null klikk som påvirker flere plugins. Spesielt ble AskTheCode-pluginen utviklet av PluginLab.AI, som letter tilgang til GitHub-repositories, funnet mottakelig. Angripere som utnytter denne feilen kan få uautorisert tilgang til en brukers GitHub-lagre, noe som utgjør en alvorlig sikkerhetsrisiko for programvareutviklingsprosjekter.
Den tredje sårbarheten gjelder manipulering av OAuth-omdirigering, som påvirker flere plugins, inkludert Charts av Kesem AI. Dette problemet kan utnyttes gjennom en spesiallaget kobling, og lure brukere til å kompromittere kontoene deres.
Respons og redusering
Ved oppdagelse rapporterte Salt Labs disse umiddelbart. sårbarheter for de respektive utviklerne, PluginLab.AI og KesemAI, som siden har tatt tak i problemene. Hendelsen fungerer som en kritisk påminnelse om viktigheten av strenge sikkerhetsprotokoller i utviklingen og vedlikeholdet av plugins og utvidelser for populære plattformer som ChatGPT.
I tillegg har Salt Security annonsert oppdagelsen av sårbarheter i GPT-er (Generative). Forhåndsutdannede transformatorer), lover å detaljere disse funnene i fremtidige rapporter. Denne avsløringen peker på et bredere problem innenfor AI og plugin-økosystemet, som krever kontinuerlig årvåkenhet og proaktive sikkerhetstiltak.
Som konklusjonen viser den raske identifiseringen og utbedringen av disse sårbarhetene samarbeidet mellom sikkerhetsforskere og utviklere for å styrke sikkerheten til AI-plattformer og beskytte brukere mot potensielle trusler. Ettersom ChatGPT og lignende teknologier fortsetter å utvikle seg, må også strategiene for å forsvare seg mot utnyttelse og sikre en sikker brukeropplevelse.
