ChatGPT ShadowLeak: គុណវិបត្តិនៃការស្រាវជ្រាវជ្រៅនៅក្នុង ChatGPT ដែលបានសម្របសម្រួលទិន្នន័យ Gmail

ការស្រាវជ្រាវថ្មីៗនេះបានរកឃើញ រន្ធសុវត្ថិភាពនៅក្នុងភ្នាក់ងារស្រាវជ្រាវជ្រៅរបស់ ChatGPT នោះ។នៅក្រោមលក្ខខណ្ឌជាក់លាក់ អាចជួយសម្រួលដល់លទ្ធផលនៃព័ត៌មានពីអ៊ីមែលដែលបានបង្ហោះនៅក្នុង Gmailការរកឃើញនេះបង្ហាញពីហានិភ័យនៃការតភ្ជាប់ជំនួយការ AI ទៅកាន់ប្រអប់ទទួល និងសេវាកម្មផ្សេងទៀតដែលមានទិន្នន័យរសើប។

ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិត Radware បានរាយការណ៍បញ្ហានេះទៅ OpenAI ហើយអ្នកលក់បានកាត់បន្ថយវានៅចុងរដូវក្តៅ មុនពេលវាក្លាយជាចំណេះដឹងសាធារណៈ។ទោះបីជាសេណារីយ៉ូកេងប្រវ័ញ្ចមានកម្រិត និង មិនមានភស្តុតាងនៃការរំលោភបំពាននៅក្នុងពិភពពិតទេ។បច្ចេកទេសប្រើស្លឹក មេរៀនសំខាន់សម្រាប់អ្នកប្រើប្រាស់ និងអាជីវកម្ម.

តើមានអ្វីកើតឡើងចំពោះទិន្នន័យ ChatGPT និង Gmail?

ការស្រាវជ្រាវជ្រៅគឺជាភ្នាក់ងារ ChatGPT ផ្តោតលើការស៊ើបអង្កេតពហុជំហាន ដែលអាច ប្រសិនបើអ្នកប្រើអនុញ្ញាតវា សូមពិគ្រោះ ប្រភពឯកជនដូចជា Gmail ដើម្បីបង្កើតរបាយការណ៍។ កំហុសបានបើកទ្វារសម្រាប់អ្នកវាយប្រហារដើម្បីរៀបចំសារជាក់លាក់មួយ ហើយប្រព័ន្ធនៅពេលវិភាគប្រអប់ទទួល អាចធ្វើតាមពាក្យបញ្ជាដែលមិនចង់បាន។

ហានិភ័យពិតប្រាកដគឺអាស្រ័យលើបុគ្គលដែលស្នើសុំ ChatGPT ដើម្បីធ្វើការស៊ើបអង្កេតជាក់លាក់មួយទៅលើអ៊ីមែលរបស់ពួកគេ និងបញ្ហានោះ។ ត្រូវគ្នានឹងខ្លឹមសារនៃអ៊ីមែលព្យាបាទ. ទោះយ៉ាងណាក៏ដោយ វ៉ិចទ័របង្ហាញពីរបៀបដែលភ្នាក់ងារ AI អាចក្លាយជាផ្នែកដែលសម្របសម្រួលការលេចធ្លាយទិន្នន័យ។

ក្នុងចំណោមព័ត៌មានដែលមានសក្តានុពលអាចលេចឡើង ឈ្មោះ អាស័យដ្ឋាន ឬទិន្នន័យផ្ទាល់ខ្លួនផ្សេងទៀត។ មានវត្តមាននៅក្នុងសារដែលដំណើរការដោយភ្នាក់ងារ។ នេះមិនមែនជាការបើកចំហរទៅកាន់គណនីនោះទេ ប៉ុន្តែជាការបណ្ដេញចេញពីលក្ខខណ្ឌដោយភារកិច្ចដែលបានប្រគល់ឱ្យជំនួយការ។

ទិដ្ឋភាពដ៏ឆ្ងាញ់ពិសេសមួយគឺថា សកម្មភាពចាប់ផ្តើមពី ហេដ្ឋារចនាសម្ព័ន្ធពពក OpenAIដែលធ្វើឱ្យមានការលំបាកសម្រាប់ការការពារបែបប្រពៃណីក្នុងការរកឃើញអាកប្បកិរិយាមិនធម្មតាព្រោះវាមិនមានប្រភពមកពីឧបករណ៍របស់អ្នកប្រើ។

ShadowLeak: ការចាក់បញ្ចូលភ្លាមៗដែលធ្វើឱ្យវាអាចធ្វើទៅបាន

Radware ត្រូវបានគេហៅថាបច្ចេកទេស ShadowLeak ហើយ​ដាក់​ស៊ុម​វា​ក្នុង​ក ការចាក់ភ្លាមៗដោយប្រយោល។៖ ការណែនាំដែលលាក់នៅក្នុងខ្លឹមសារដែលភ្នាក់ងារវិភាគ មានសមត្ថភាពមានឥទ្ធិពលលើឥរិយាបទរបស់វាដោយមិនមានអ្នកប្រើប្រាស់កត់សម្គាល់។

អ្នកវាយប្រហារបានផ្ញើអ៊ីមែលជាមួយ សេចក្តីណែនាំ HTML ដែលក្លែងបន្លំ តាមរយៈល្បិចដូចជាពុម្ពអក្សរតូចៗ ឬអត្ថបទពណ៌សនៅលើផ្ទៃខាងក្រោយពណ៌ស។ នៅ glance ដំបូង អ៊ីមែលហាក់ដូចជាគ្មានគ្រោះថ្នាក់ ប៉ុន្តែរួមបញ្ចូលការណែនាំដើម្បីស្វែងរកប្រអប់ទទួលសម្រាប់ទិន្នន័យជាក់លាក់។.

នៅពេលដែលអ្នកប្រើប្រាស់បានស្នើសុំឱ្យ Deep Research ធ្វើការលើអ៊ីមែលរបស់គាត់ ភ្នាក់ងារបានអានការណែនាំដែលមើលមិនឃើញទាំងនោះ និង បន្តទាញយក និងបញ្ជូនទិន្នន័យទៅកាន់គេហទំព័រដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារនៅក្នុងការធ្វើតេស្ត អ្នកស្រាវជ្រាវថែមទាំងបានទៅឆ្ងាយរហូតដល់ការអ៊ិនកូដព័ត៌មាននៅក្នុង Base64 ដើម្បីបង្ហាញជាវិធានការសុវត្ថិភាពដែលគេសន្មត់។

ឧបសគ្គដែលតម្រូវឱ្យមានការយល់ព្រមច្បាស់លាស់ចំពោះតំណភ្ជាប់បើកចំហក៏អាចជៀសផុតបានដោយការហៅឧបករណ៍រុករកផ្ទាល់ខ្លួនរបស់ភ្នាក់ងារ ដែលជួយសម្រួលដល់ ការបណ្តេញចេញទៅកាន់ដែនខាងក្រៅ នៅក្រោមការគ្រប់គ្រងរបស់អ្នកវាយប្រហារ។

នៅក្នុងបរិស្ថានគ្រប់គ្រង, ក្រុម Radware បានកត់សម្គាល់ពីប្រសិទ្ធភាពខ្ពស់ណាស់។បង្ហាញថាការរួមបញ្ចូលគ្នានៃការចូលប្រើសំបុត្រ និងស្វ័យភាពភ្នាក់ងារអាចជា បញ្ចុះបញ្ចូលសម្រាប់ម៉ូដែល ប្រសិនបើការណែនាំដែលបានបង្កប់មិនត្រូវបានត្រងត្រឹមត្រូវ។

ហេតុ​អ្វី​បាន​ជា​អ្នក​ការពារ​មិន​បាន​កត់​សម្គាល់

ការប្រាស្រ័យទាក់ទងគ្នាមានប្រភពចេញពីម៉ាស៊ីនមេដែលជឿទុកចិត្ត ដូច្នេះប្រព័ន្ធសាជីវកម្មបានឃើញចរាចរណ៍ស្របច្បាប់ដែលមានប្រភពមកពីសេវាកម្មល្បីឈ្មោះ។ ព័ត៌មានលម្អិតនេះបានប្រែក្លាយការលេចធ្លាយទៅជា ក កន្លែងពិការភ្នែកសម្រាប់ដំណោះស្រាយជាច្រើន។ ការត្រួតពិនិត្យ។

ជាងនេះទៅទៀត ជនរងគ្រោះមិនចាំបាច់ចុច ឬប្រតិបត្តិអ្វីជាក់លាក់នោះទេ៖ គាត់គ្រាន់តែសួរភ្នាក់ងារសម្រាប់ការស្វែងរកដែលទាក់ទងនឹងប្រធានបទនៃអ៊ីមែលដែលរៀបចំដោយអ្នកវាយប្រហារ ដែលជាអ្វីមួយដែលធ្វើឱ្យមានឧបាយកល ស្ងាត់ និងពិបាកតាមដាន.

អ្នក​ស្រាវជ្រាវ​បញ្ជាក់​ដូច្នេះ យើងកំពុងប្រឈមមុខនឹងការគំរាមកំហែងប្រភេទថ្មី។ ដែលក្នុងនោះភ្នាក់ងារ AI ខ្លួនវាដើរតួជាវ៉ិចទ័រ។ ទោះបីជាមានផលប៉ះពាល់ជាក់ស្តែងមានកម្រិតក៏ដោយ ករណីនេះបង្ខំឱ្យយើងពិនិត្យមើលឡើងវិញអំពីរបៀបដែលយើងផ្តល់ការអនុញ្ញាតដល់ឧបករណ៍ស្វ័យប្រវត្តិ។

ការកែកំហុស និងការណែនាំជាក់ស្តែង

OpenAI បានអនុវត្តការកាត់បន្ថយបន្ទាប់ពីការជូនដំណឹងរបស់ Radware ហើយ​បាន​សម្តែង​ការដឹងគុណ​របស់ខ្លួន​ចំពោះ​ភ័ស្តុតាង​ជា​សត្រូវ ដោយ​សង្កត់ធ្ងន់​ថា វា​បន្ត​ពង្រឹង​ការការពារ​របស់ខ្លួន​។ មក​ដល់​ពេល​នេះ អ្នក​ផ្តល់​សេវា​អះអាង​ដូច្នេះ មិនមានភស្តុតាងនៃការកេងប្រវ័ញ្ចទេ។ នៃវ៉ិចទ័រនេះ។.

Deep Research គឺជាភ្នាក់ងារស្រេចចិត្តដែលអាចភ្ជាប់ទៅ Gmail ដោយមានការអនុញ្ញាតពីអ្នកប្រើប្រាស់។ មុននឹងភ្ជាប់ប្រអប់សារ ឬឯកសារទៅកាន់ជំនួយការ។ វាត្រូវបានណែនាំឱ្យវាយតម្លៃវិសាលភាពពិតប្រាកដនៃការអនុញ្ញាត និងកំណត់ការចូលទៅកាន់អ្វីដែលចាំបាច់យ៉ាងតឹងរ៉ឹង។.

ប្រសិនបើអ្នកបានភ្ជាប់សេវាកម្ម Google, ពិនិត្យ និងបំបាត់ការចូលប្រើប្រាស់ វាសាមញ្ញ៖

• ចូលទៅកាន់ myaccount.google.com/security ដើម្បីបើកផ្ទាំងសុវត្ថិភាព.
• នៅក្នុងផ្នែកការតភ្ជាប់ ចុចលើ មើលការតភ្ជាប់ទាំងអស់។.
• កំណត់អត្តសញ្ញាណ ChatGPT ឬកម្មវិធីផ្សេងទៀតដែលអ្នកមិនស្គាល់ និងដកហូតការអនុញ្ញាត។.
• ដកសិទ្ធិចូលប្រើដែលមិនចាំបាច់ចេញ ហើយផ្តល់សិទ្ធិឱ្យឡើងវិញតែអ្វីដែលចាំបាច់។ មិនអាចខ្វះបាន.

សម្រាប់អ្នកប្រើប្រាស់ និងអាជីវកម្ម វាជាគន្លឹះក្នុងការបញ្ចូលគ្នានូវសុភវិនិច្ឆ័យ និងវិធានការបច្ចេកទេស៖ រក្សាអ្វីៗគ្រប់យ៉ាងឱ្យទាន់សម័យ អនុវត្តគោលការណ៍នៃសិទ្ធិតិចតួចបំផុតចំពោះភ្នាក់ងារ និងឧបករណ៍ភ្ជាប់និងតាមដានសកម្មភាពរបស់ឧបករណ៍ដែលមានសិទ្ធិចូលប្រើទិន្នន័យរសើប។

នៅក្នុងបរិយាកាសសាជីវកម្ម អ្នកជំនាញណែនាំឱ្យបញ្ចូលការគ្រប់គ្រងបន្ថែមសម្រាប់ភ្នាក់ងារ AI ហើយប្រសិនបើ Deep Research ឬសេវាកម្មស្រដៀងគ្នាត្រូវបានប្រើប្រាស់ ដាក់កម្រិតសមត្ថភាព ដូចជាការបើកតំណ ឬបញ្ជូនទិន្នន័យទៅកាន់ដែនដែលមិនបានផ្ទៀងផ្ទាត់។

ការស្រាវជ្រាវរបស់ Radware និងការកាត់បន្ថយយ៉ាងឆាប់រហ័សរបស់ OpenAI បន្សល់ទុកមេរៀនច្បាស់លាស់មួយ៖ ការភ្ជាប់ជំនួយការទៅ Gmail ផ្តល់នូវអត្ថប្រយោជន៍ ប៉ុន្តែតម្រូវការសុវត្ថិភាព វាយតម្លៃការអនុញ្ញាត តាមដានឥរិយាបថ ហើយសន្មតថាការចាក់តាមការណែនាំនឹងបន្តសាកល្បងភ្នាក់ងារ AI ។