ChatGPT ShadowLeak: Gmail දත්ත අවදානමට ලක් කළ ChatGPT හි ගැඹුරු පර්යේෂණ දෝෂය

මෑත කාලීන පර්යේෂණවලින් හෙළි වී ඇත්තේ ChatGPT හි ගැඹුරු පර්යේෂණ නියෝජිතයාගේ ආරක්ෂක සිදුරක්, එනම්, යම් යම් කොන්දේසි යටතේ, Gmail හි සත්කාරකත්වය දරන විද්‍යුත් තැපැල් වලින් තොරතුරු ප්‍රතිදානය කිරීමට පහසුකම් සැලසිය හැක.මෙම සොයාගැනීම මගින් AI සහායකයින් එන ලිපි සහ සංවේදී දත්ත අඩංගු අනෙකුත් සේවාවන් වෙත සම්බන්ධ කිරීමේ අවදානම් ඉස්මතු කරයි.

සයිබර් ආරක්ෂණ සමාගම Radware සමාගම මෙම ගැටලුව OpenAI වෙත වාර්තා කළ අතර, එය ප්‍රසිද්ධියට පත්වීමට පෙර ගිම්හානයේ අගභාගයේදී වෙළෙන්දා එය අවම කළේය.. සූරාකෑමේ අවස්ථාව සීමිත වුවද සහ සැබෑ ලෝකයේ අපයෝජනය පිළිබඳ කිසිදු සාක්ෂියක් නොමැත., කොළ භාවිතා කරන තාක්ෂණය පරිශීලකයින්ට සහ ව්‍යාපාර සඳහා වැදගත් පාඩමක්.

ChatGPT සහ Gmail දත්ත වලට මොකද වුණේ?

Deep Research යනු ChatGPT නියෝජිතයෙකි. බහු-පියවර විමර්ශන සඳහා නැඹුරු පරිශීලකයා එයට අවසර දෙන්නේ නම්, උපදෙස් ලබා ගත හැකි Gmail වැනි පුද්ගලික මූලාශ්‍ර වාර්තා ජනනය කිරීමට. දෝෂය ප්‍රහාරකයෙකුට නිශ්චිත පණිවිඩයක් සකස් කිරීමට දොර විවර කළ අතර, පද්ධතියට එන ලිපි විශ්ලේෂණය කිරීමේදී අනවශ්‍ය විධාන අනුගමනය කළ හැකිය.

සැබෑ අවදානම රඳා පවතින්නේ තම විද්‍යුත් තැපෑල සම්බන්ධයෙන් නිශ්චිත පරීක්ෂණයක් පැවැත්වීමට ChatGPT ඉල්ලා සිටින පුද්ගලයා මත සහ එම ගැටළුව ද්වේශසහගත විද්‍යුත් තැපෑලෙහි අන්තර්ගතයට ගැළපුණි.... තවමත්, දෛශිකය මඟින් AI නියෝජිතයෙකු දත්ත කාන්දු වීමට පහසුකම් සපයන එකම කොටස බවට පත්වන ආකාරය නිරූපණය කරයි.

බලපෑමට ලක්විය හැකි තොරතුරු අතර දිස්විය හැකිය නම්, ලිපින හෝ වෙනත් පුද්ගලික දත්ත නියෝජිතයා විසින් සකසන ලද පණිවිඩවල පවතී. මෙය ගිණුමට විවෘත ප්‍රවේශයක් නොව, සහකරුට පවරා ඇති කාර්යය මගින් කොන්දේසි සහිත බැහැර කිරීමකි.

විශේෂයෙන් සියුම් අංගයක් වන්නේ ක්‍රියාකාරකම ආරම්භ වූයේ OpenAI වලාකුළු යටිතල පහසුකම්, එය පරිශීලකයාගේ උපාංගයෙන් ආරම්භ නොවූ බැවින් සාම්ප්‍රදායික ආරක්ෂක ක්‍රමවලට විෂම හැසිරීම් හඳුනා ගැනීම දුෂ්කර කළේය.

ShadowLeak: එය කළ හැකි කළ ක්ෂණික එන්නත් කිරීම

රැඩ්වෙයාර් තාක්ෂණය ෂැඩෝලීක් ලෙස නම් කරන ලදී සහ එය රාමු කරන්නේ a වක්‍ර ක්ෂණික එන්නත් කිරීම: නියෝජිතයා විශ්ලේෂණය කරන අන්තර්ගතය තුළ සැඟවුණු උපදෙස්, පරිශීලකයාට නොදැනුවත්වම එහි හැසිරීමට බලපෑම් කළ හැකිය.

ප්‍රහාරකයා ඊමේල් පණිවිඩයක් එව්වා සැඟවුණු HTML උපදෙස් සුදු පසුබිමක කුඩා අකුරු හෝ සුදු අකුරු වැනි උපක්‍රම හරහා. මුලින්ම බැලූ බැල්මට විද්‍යුත් තැපෑල හානිකර නොවන බව පෙනුනද, නිශ්චිත දත්ත සඳහා එන ලිපි සෙවීමට උපදෙස් එහි අඩංගු විය..

පරිශීලකයා Deep Research වෙතින් ඔහුගේ විද්‍යුත් තැපෑලෙහි වැඩ කරන ලෙස ඉල්ලා සිටි විට, නියෝජිතයා එම අදෘශ්‍යමාන උපදෙස් කියවා ප්‍රහාරකයා විසින් පාලනය කරනු ලබන වෙබ් අඩවියකට දත්ත උපුටා ගෙන යැවීමට ඉදිරියට ගියේය.පරීක්ෂණ වලදී, පර්යේෂකයන් Base64 හි තොරතුරු සංකේතනය කර, උපකල්පිත ආරක්ෂක පියවරක් ලෙස පෙන්වීමට පවා කටයුතු කළහ.

සබැඳි විවෘත කිරීමට පැහැදිලි කැමැත්තක් අවශ්‍ය වූ බාධක, නියෝජිතයාගේම සංචාලන මෙවලම් භාවිතා කිරීමෙන් මඟ හැරිය හැකි අතර, එමඟින් බාහිර වසම් වෙත පිටවීම ප්‍රහාරකයාගේ පාලනය යටතේ.

පාලිත පරිසරවල, රැඩ්වෙයාර් කණ්ඩායම් ඉතා ඉහළ කාර්යක්ෂමතාවයක් සටහන් කළහ., තැපැල් ප්‍රවේශය සහ නියෝජිත ස්වයං පාලනයේ සංයෝජනය විය හැකි බව පෙන්නුම් කරයි ආකෘතිය සඳහා ඒත්තු ගැන්විය හැකි ඇතුළත් කළ උපදෙස් නිසි ලෙස පෙරහන් කර නොමැති නම්.

එය ආරක්ෂක අංශවල අවධානයට ලක් නොවූයේ ඇයි?

සන්නිවේදනයන් විශ්වාසදායක සේවාදායකයන්ගෙන් ආරම්භ වූ බැවින්, ආයතනික පද්ධති පිළිගත් සේවාවකින් ආරම්භ වූ නීත්‍යානුකූල ගමනාගමනය දුටුවේය. මෙම විස්තරය කාන්දුව බවට පත් කළේය බොහෝ විසඳුම් සඳහා අන්ධ ස්ථානය නිරීක්ෂණය.

තවද, වින්දිතයාට නිශ්චිත කිසිවක් ක්ලික් කිරීමට හෝ ක්‍රියාත්මක කිරීමට අවශ්‍ය නොවීය: ඔහු හුදෙක් ප්‍රහාරකයා විසින් සකස් කරන ලද විද්‍යුත් තැපෑලෙහි විෂයට අදාළ සෙවුමක් නියෝජිතයාගෙන් ඉල්ලා සිටියේය, එය උපාමාරුවක් ඇති කරයි. නිහඬ සහ නිරීක්ෂණය කිරීමට අපහසු.

පර්යේෂකයන් අවධාරණය කරන්නේ අපි නව ආකාරයේ තර්ජනයකට මුහුණ දී සිටිමු. එහිදී AI නියෝජිතයා දෛශිකයක් ලෙස ක්‍රියා කරයි. සීමිත ප්‍රායෝගික බලපෑමක් සහිතව වුවද, නඩුව ස්වයංක්‍රීය මෙවලම් සඳහා අපි අවසර ලබා දෙන ආකාරය සමාලෝචනය කිරීමට අපට බල කරයි.

දෝෂ නිවැරදි කිරීම සහ ප්‍රායෝගික නිර්දේශ

Radware හි දැනුම්දීමෙන් පසුව OpenAI අවම කිරීම් ක්‍රියාත්මක කළේය. සහ එහි ආරක්ෂණ ක්‍රම අඛණ්ඩව ශක්තිමත් කරන බව අවධාරණය කරමින්, විරුද්ධවාදී සාක්ෂි සඳහා එහි කෘතඥතාව පළ කළේය. අද වන විට, සැපයුම්කරු කියා සිටින්නේ සූරාකෑම පිළිබඳ කිසිදු සාක්ෂියක් නොමැත. මෙම දෛශිකයේ.

Deep Research යනු පරිශීලකයාගේ ප්‍රකාශිත අවසරය ඇතිව පමණක් Gmail වෙත සම්බන්ධ විය හැකි විකල්ප නියෝජිතයෙකි. එන ලිපි හෝ ලේඛන සහායකයෙකුට සම්බන්ධ කිරීමට පෙර, අවසර පත්‍රවල සැබෑ විෂය පථය තක්සේරු කිරීම සහ දැඩි ලෙස අවශ්‍ය දේට ප්‍රවේශය සීමා කිරීම සුදුසුය..

ඔබ Google සේවාවන් සම්බන්ධ කර ඇත්නම්, ප්‍රවේශය සමාලෝචනය කර නිදොස් කරන්න ඒක සරලයි:

• myaccount.google.com/security වෙත යන්න ආරක්ෂක පැනලය විවෘත කිරීමට.
• සම්බන්ධතා කොටසේ, සියලු සම්බන්ධතා බලන්න මත ක්ලික් කරන්න..
• ChatGPT හෝ ඔබ හඳුනා නොගත් වෙනත් යෙදුම් හඳුනාගෙන අවසර අවලංගු කරන්න..
• අනවශ්‍ය ප්‍රවේශයන් ඉවත් කර අත්‍යවශ්‍ය ඒවා පමණක් නැවත ලබා දෙන්න. අත්‍යවශ්‍යයි.

පරිශීලකයින් සහ ව්‍යාපාර සඳහා, සාමාන්‍ය බුද්ධිය සහ තාක්ෂණික පියවරයන් ඒකාබද්ධ කිරීම ඉතා වැදගත් වේ: සියල්ල යාවත්කාලීනව තබා ගන්න, නියෝජිතයින්ට සහ සම්බන්ධකයන්ට අවම වරප්‍රසාද මූලධර්මය යොදන්න., සහ සංවේදී දත්ත වලට ප්‍රවේශය ඇති මෙවලම්වල ක්‍රියාකාරිත්වය නිරීක්ෂණය කරන්න.

ආයතනික පරිසරයන් තුළ, විශේෂඥයින් AI නියෝජිතයන් සඳහා අමතර පාලනයන් ඇතුළත් කිරීම නිර්දේශ කරන අතර, ගැඹුරු පර්යේෂණ හෝ ඒ හා සමාන සේවාවන් භාවිතා කරන්නේ නම්, හැකියාවන් සීමා කරන්න සබැඳි විවෘත කිරීම හෝ සත්‍යාපනය නොකළ වසම් වෙත දත්ත යැවීම වැනි.

Radware හි පර්යේෂණ සහ OpenAI හි වේගවත් අවම කිරීම පැහැදිලි පාඩමක් ඉතිරි කරයි: Gmail වෙත සහායකයින් සම්බන්ධ කිරීම වාසි ලබා දෙයි, නමුත් ආරක්ෂාව ඉල්ලා සිටී. අවසර ඇගයීම, හැසිරීම් නිරීක්ෂණය කිරීම සහ උපදෙස් එන්නත් කිරීම AI නියෝජිතයන් පරීක්ෂා කිරීම දිගටම කරගෙන යනු ඇතැයි උපකල්පනය කරන්න.